Documentation

1 Estructura del manual
2 Què és Zabbix
3 Funcionalitats de Zabbix
4 Vista general de Zabbix
5 Què hi ha de nou al Zabbix 6.0.0
6 Què hi ha de nou al Zabbix 6.0.1
7 Què hi ha de nou al Zabbix 6.0.2
8 Què hi ha de nou al Zabbix 6.0.3
9 Què hi ha de nou al Zabbix 6.0.4
10 Què hi ha de nou al Zabbix 6.0.5
11 Què hi ha de nou al Zabbix 6.0.6
12 Què hi ha de nou al Zabbix 6.0.7
13 Què hi ha de nou al Zabbix 6.0.8
14 Què hi ha de nou al Zabbix 6.0.9
15 Què hi ha de nou al Zabbix 6.0.10
16 Què hi ha de nou al Zabbix 6.0.11
17 Què hi ha de nou al Zabbix 6.0.13
18 Què hi ha de nou al Zabbix 6.0.13
19 Què hi ha de nou al Zabbix 6.0.14
20 Què hi ha de nou al Zabbix 6.0.15
21 Què hi ha de nou al Zabbix 6.0.16
22 què hi ha de nou a Zabbix 6.0.17
23 Què hi ha de nou al Zabbix 6.0.18
24 Què hi ha de nou al Zabbix 6.0.19
25 Què hi ha de nou al Zabbix 6.0.20
26 Què hi ha de nou al Zabbix 6.0.21
27 Què hi ha de nou al Zabbix 6.0.22
28 Què hi ha de nou al Zabbix 6.0.23
29 Què hi ha de nou al Zabbix 6.0.24
30 Què hi ha de nou a Zabbix 6.0.25
31 Què hi ha de nou al Zabbix 6.0.26
32 Què hi ha de nou al Zabbix 6.0.27
33 Què hi ha de nou al Zabbix 6.0.28
34 Què hi ha de nou al Zabbix 6.0.29
2. Definicions
1 Alta disponibilitat
2 Agent
3 Agent 2
4 Proxy
1 Configurar a partir de les fonts
2 Configurar des dels paquets de RHEL
3 Configuració des dels paquets Debian/Ubuntu
6 Sender
7 Get
8 JS
9 Servei Web
1 Obtenir Zabbix
1 Dependències del plugin PostgreSQL
2 Dependències del plugin MongoDB
2 Bones pràctiques per la configuració securitzada de Zabbix
1 Compilar l'agent Zabbix sota Windows
2 Construint l'agent Zabbix 2 sota Windows
3 Construir l'agent Zabbix sobre macOS
1 Red Hat Enterprise Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise Server
4 Instal·lació de l'agent Windows des d'MSI
5 Instal·lació de l'agent Mac OS des de PKG
6 Versions inestables
5 Instal·lació des de contenidors
1 Instal·lació del portal sobre Debian/Ubuntu
1 Actualització des de les fonts
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
1 Problemes de compilació
9 Modificacions de les plantilles
10 Notes d'actualització per 6.0.0
11 Notes d'actualització per 6.0.1
12 Comentaris d'actualització a la versió 6.0.2
13 Comentaris d'actualització a la versió 6.0.3
14 Comentaris d'actualització a la versió 6.0.4
15 Comentaris d'actualització a la versió 6.0.5
16 Notes d'actualització de la versió 6.0.6
17 Notes d'actualització de la versió 6.0.7
18 Comentaris d'actualització a la versió 6.0.8
19 Comentaris d'actualització a la versió 6.0.9
20 Notes d'actualització de la versió 6.0.10
21 Notes d'actualització de la versió 6.0.11
22 Notes d'actualització per 6.0.12
23 Notes d'actualització per 6.0.13
24 Notes d'actualització per 6.0.14
25 Comentaris d'actualització a la versió 6.0.15
26 Comentaris d'actualització a la versió 6.0.16
27 Notes d'actualització de la versió 6.0.17
28 Notes d'actualització per 6.0.18
29 Notes d'actualització per 6.0.19
30 Comentaris d'actualització a la versió 6.0.20
31 Notes d'actualització per 6.0.21
32 Notes d'actualització per 6.0.22
33 Notes d'actualització per 6.0.23
34 Comentaris d'actualització a la versió 6.0.24
35 Comentaris d'actualització a la versió 6.0.25
36 Comentaris d'actualització a la versió 6.0.26
37 Comentaris d'actualització a la versió 6.0.27
38 Notes d'actualització per 6.0.28
39 Comentaris d'actualització a la versió 6.0.29
1 Connexió i configuració d'usuari
2 Nou equip
3 Element nou
4 Trigger nou
5 Rebre una notificació de problema
6 Plantilla nova
6. Aplicació Zabbix
1 Configuració d'un equip
2 Inventari
3 Actualització massiva
1 Format de clé clau d'element
2 Intervals personalitzats
1 Exemples d'ús
2 Detalls de preprocessament
1 Escapar caràcters especials dels valors de macro LLD a JSONPath
1 Objectes JavaScript addicionals
5 Preprocessament CSV cap a JSON
1 Claus d'elements específiques de l'agent 2
2 claus d'elements específiques de Windows
1 Index dinàmics
2 OID especials
3 Arxius MIB
3 SNMP trap
4 Verificacions IPMI
1 Elements clau de monitoratge VMware
6 Supervisió dels fitxers de registre
1 Càlculs agregats
8 Verificacions internes
9 Verificacions SSH
10 Verificacions Telnet
11 Verificacions externes
12 Elements trapper
13 Monitoratge JMX
1 Paràmetres UnixODBC recomanats per MySQL
2 Paràmetres UnixODBC recomanats per a PostgreSQL
3 Paràmetres recomanats per UnixODBC sota Oracle
4 Paràmetres UnixODBC recomanats per MSSQL
15 Elements dependents
16 Agent HTTP
17 Verificacions Prometheus
18 Elements d'script
4 Històric i tendències
1 Extensions dels agents Zabbix
6 Mòduls carregables
7 Comptadors de rendiment de Windows
8 Actualització en massa
9 Mapatge de valors
10 Cua
11 Cau de valor
12 Executar ara
13 Restringir les verificacions de l'agent
1 Construir plugins carregables
1 Configurant un trigger
2 Expressió de trigger
3 Dependència dels triggers
4 Gravetat dels triggers
5 Personalització de la gravetat dels triggers
6 Actualització massiva
7 Funcions predictives de triggers
1 Generació d'esdeveniments per trigger
2 Altres fonts d'esdeveniments
3 Tancament manual dels problemes
1 Correlació d'esdeveniments basats en triggers
Correlació global d'esdeveniments
6 Etiquetat
1 Gràfics senzills
2 Gràfics personalitzats
3 Gràfics ad-hoc
4 Agregació als gràfics
1 Configurar un mapa de xarxa
2 elements del grup d'equips
3 Indicadors d'enllaços
3 Taulers
4 Taulers d'equips
1 Configuració d'una plantilla
2 Enllaçar/desenllaçar
3 Niuatge
4 Actualització massiva
1 Funcionament del model d'agent Zabbix
2 Funcionament de la plantilla de l'agent Zabbix 2
3 Operació de plantilla HTTP
7 Plantilles estandarditzades per a dispositius de xarxa
Operació de plantilla IPMI
Operació de plantilla JMX
Operació de plantilla ODBC
1 Correu-e
2 SMS
3 Scripts d'alerta personalitzats
1 Exemples d'scripts de Webhook
1 Condicions
1 Enviament de missatges
2 Comandes remotes
3 Operacions addicionals
4 Emprar macros a missatges
3 Operacions de recuperació
4 Operacions d'actualització
5 Escalades
3 Recepció de notificacions per els elements no admesos
1 Funcions de macro
2 Macros d'usuari
3 Macros d'usuari amb context
4 Macros de descoberta de baix nivell
5 Macros d'expressió
1 Configurant un usuari
2 Permissos
3 Grups d'usuaris
13 Emmagatzematge de secrets
14 Informes programats
1 Arbre de serveis
2 Accions de servei
3 SLA
4 Exemple de configuració
1 Elements de monitoratge web
2 Escenari de la vida real
1 Camps clau de descoberta de màquines virtuals
11. Manteniment
12. Expressions regulars
13. Reconeixement del problema
1 Grups d'equips
2 Plantilles
3 Equips
4 Mapes de xarxa
5 Tipus de suport
1 Configurant una regla de descoberta de xarxa
2 Enregistrament automàtic d'agent actiu
1 Prototip d'element
2 Prototips de triggers
3 Prototipus de gràfics
4 Notes sobre la descoberta de baix nivell
1 Descoberta de sistemes d'arxius muntats
2 Descoberta de les interfícies de xarxa
3 Descoberta de CPUs i nuclis de CPU
4 Descoberta de OIDs SNMP
5 Descoberta d'objectes JMX
6 Descoberta de sensors IPMI
7 Descoberta de serveis systemd
8 Descoberta de serveis de Windows
9 Descoberta d'instàncies de comptador de rendiment de Windows
10 Descoberta emprant consultes WMI
11 Descoberta emprant consultes ODBC SQL
12 Descoberta emprant dades de Prometheus
13 Descoberta de perifèric de bloc
14 Descoberta d'interfícies d'equips a Zabbix
6 Regles LLD personalitzades
1 Proxys
1 Emprant certificats
2 emprant claus pre-compartides
1 Tipus de connexió o problemes de permisos
2 Problemes de certificat
3 problemes PSK
1 Menú
1 Registre d'accions
2 Rellotge
3 Vista general de les dades
4 Estat de descoberta
5 Gràfics preferits
6 Mapes preferits
7 Geomapes
8 Gràfic
9 Gràfic (clàssic)
10 Prototipus de gràfic
11 Disponibilitat de l'equip
12 Valor dels elements
13 Mapa
14 Arbre de navegació del mapa
15 Text pla
16 Equips amb problemes
17 Problemes
18 Problemes per gravetat
19 Informe SLA
20 Informació del sistema
21 Equips top
22 Vista general del trigger
23 URL
24 Monitoratge Web
2 Problemes
1 Gràfics
2 Escenaris web
4 Darreres dades
5 Mapes
6 Descoberta
1 Serveis
2 Accions de servei
3 SLA
4 Informe SLA
1 Vista general
2 Equips
1 Informació del sistema
2 Informes programats
3 Informe de disponibilitat
4 Top 100 de triggers
5 Auditoria
6 Registre d'accions
7 Notificacions
1 Grups d'equips
1 Elements
2 Triggers
3 Gràfics
1 Prototips d'elements
2 Prototips de triggers
3 Prototips de gràfics
4 Prototips d'equips
5 Escenaris web
1 Elements
2 Triggers
3 Gràfics
1 Prototips d'elements
2 Prototips de triggers
3 Prototips de gràfics
4 Prototips d'equips
5 Escenaris web
4 Manteniment
5 Accions
6 Correlació d'esdeveniments
7 Descoberta
1 General
2 Proxys
3 Autenticació
4 Grups d'usuaris
5 Rols d'usuari
6 Usuaris
7 Tipus de suport
8 Scripts
9 Cua
1 Notificacions globals
2 Sons dels navegadors
4 Cerca global
5 Mode de manteniment de la interfície Web
6 Paràmetres de la pàgina
7. Definicions
8 Crear el vostre propi tema
9 Mode de depuració
10 Cookies emprades per Zabbix
11 Fusos horaris
12 Restablir el mot de pas
> Objecte d'acció
acció.crear
acció.esborrar
action.get
action.update
> Objecte alerta
alert.get
> Objecte d'autenticació
authentication.get
authentication.update
> Objecte d'autoregistre
autoregistration.get
autoregistration.update
configuration.export
configuration.import
configuration.importcompare
> Objecte configuració
settings.get
settings.update
> Objecte de correlació
correlació.crear
correlation.delete
correlation.get
correlation.update
> Element objecte
item.create
item.delete
item.get
item.update
> Objecte gràfic
graphitem.get
> Objecte equip
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Objecte d'equip descobert
dhost.get
> Objecte d'escenari web
httptest.create
httptest.delete
httptest.get
httptest.update
> Objecte esdeveniment
event.acknowledge
event.get
> Objecte d'expressió regular
regexp.create
regexp.delete
regexp.get
regexp.update
> Objecte Grup d'equips
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> Objecte grup d'usuaris
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Objecte gràfic
graph.create
graph.delete
graph.get
graph.update
> Objecte historial
history.clear
history.get
> Objecte imatge
image.create
image.delete
image.get
image.update
apiinfo.version
> Objecte informe
report.create
report.delete
report.get
report.update
> Objecte interfície d'equip
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Objecte de macros d'usuaris
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Objecte manteniment
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Objecte de manteniment
housekeeping.get
housekeeping.update
> Objecte mapa
map.create
map.delete
map.get
map.update
> Objecte mapa d'icones imatge
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Objecte mapa de valors
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Objecte de node d'alta disponibilitat
hanode.get
> Objecte plantilla
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Objecte problema
problem.get
> Objecte prototip d'elements
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> Objecte prototip d'equips
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Objecte prototip de gràfic
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Objecte prototip de trigger
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Objecte proxy
proxy.create
proxy.delete
proxy.get
proxy.update
> Objecte de registre d'auditoria
auditlog.get
> Objecte de regla LLD
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Objecte de regla de descoberta
drule.create
drule.delete
drule.get
drule.update
> Objecte rol
role.create
role.delete
role.get
role.update
> Objecte script
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
script.update
> Objecte servei
service.create
service.delete
service.get
service.update
> Objecte de servei de descoberta
dservice.get
> Objecte SLA
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> Objecte tasca
task.create
task.get
> Objecte de tauler
1 Action log
2 Rellotge
3 Vista general de les dades
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Geomapes
8 Gràfic
9 Gràfic (clàssic)
10 Prototipus de gràfic
11 Host availability
12 Valor dels elements
13 Mapa
14 Arbre de navegació del mapa
15 Text pla
16 Equips amb problemes
17 Problemes
18 Problemes per gravetat
19 Informe SLA
20 System information
21 Equips principals
22 Vista general del trigger
23 URL
24 Monitoratge Web
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Objecte plantilla de tauler
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Objecte tendència
trend.get
> Objecte de tipus de suport
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Objecte token
token.create
token.delete
token.generate
token.get
token.update
> Objecte trigger
trigger.adddependencies
trigger.create
trigger.delete
trigger.deletedependencies
trigger.get
trigger.update
> Objecte usuari
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.unblock
user.update
> Objecte test de descoberta
dcheck.get
Apèndix 1. Comentari de referència
Apèndix 2. Canvis de 5.4 a 6.0
Canvis de l'API del Zabbix a la versió 6.0
20. Mòduls
1 Preguntes freqüents
1 Creació de la base de dades
2 Reparant el joc de caràcters i la col·lació de la base de dades de Zabbix
3 Actualització de la base de dades envers les claus primàries
1 Configuració del xifrat MySQL
2 Configuració del xifrat PostgreSQL
5 Configuració TimescaleDB
6 Configuració d'Elasticsearch
7 Exportació en temps real dels esdeveniments, dels valors dels elements, de les tendències
8 Notes específiques de la distribució sobre la configuració d'Nginx per a Zabbix
9 Executar l'agent com a root
10 Agent Zabbix per a Microsoft Windows
11 Configuració de SAML amb Okta
12 Configuració de la base de dades Oracle
13 Configuració dels informes programats
14 Llengües d'interfície Web addicionals
1 Servidor Zabbix
2 proxy Zabbix
3 Zabbix agent (UNIX)
4 Zabbix agent 2 (UNIX)
5 Zabbix agent (Windows)
6 Zabbix agent 2 (Windows)
1 Plugin Ceph
2 Plugin de Docker
3 Plugin Memcached
4 Plugin Modbus
5 Plugin MongoDB
6 Plugin MQTT
7 MSSQL plugin
8 Plugin MySQL
9 Plugin d'Oracle
10 Plugin de PostgreSQL
11 Plugin de Redis
12 Plugin Smart
8 Passarel·la Java Zabbix
9 Web service Zabbix
10 Inclusió
1 Protocol de bescanvi de dades servidor-proxy
2 Protocol de l'agent Zabbix
3 Protocol de l'agent Zabbix 2
5 Protocol de l'enviador Zabbix
6 Capçalera
7 Protocol d'exportació en temps real
Codi
1 Elements suportats per la plataforma
2 Paràmetres vm.memory.size
3 Verificacions dels agents actius i passius
4 Elements Trapper
5 Nivell mínim de permisos per als elements de l'agent Windows
6 Codificació dels valors retornats
7 Suport de fitxers grans
8 Sensor
9 Notes sobre el paràmetre memtype dels elements proc.mem
10 Notes sobre la selecció de processos als elements proc.mem i proc.num
11 Detalls d'implementació de les verificacions net.tcp.service i net.udp.service
12 Paràmetres de la interfície de l'equip inaccessibles/indisponibles
13 Monitoratge remot de es estadístiques de Zabbix
14 Configurar Kerberos amb Zabbix
15 Paràmetres de modbus.get
16 Creació de noms de comptadors de rendiment personalitzats per VMware
1 Funcions Foreach
2 Funciones binàries
3 Funcions de data i hora
4 Funcions d'historial
5 Funcions de tendència
6 Funcions matemàtiques
7 Funcions d'operador
8 Funcions de predicció
9 Funcions de cadenes
1 Macros admeses
2 Macros d'usuaris admeses per ublicació
8 Símbols d'unitats
9 Sintaxi del període de temps
10 Execució de comanda
11 Compatibilitat de versió
12 Gestió dels errors de base de dades
13 Biblioteca d'enllaços dinàmics del remitent Zabbix per a Windows
14 Biblioteca de Python per a l'API Zabbix
15 Actualització del monitoratge dels serveis
16 Altres problemes
17Diferències entre l'agent i l'agent 2
18 Exemples d'escapament
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

1 Emprant certificats

Vista general

Zabbix pot emprar certificats RSA en format PEM, signats per una autoritat de certificació (CA) pública o interna. La verificació del certificat es realitza en una CA de certificat preconfigurada. Opcionalment es poden emprar les llistes de revocació de certificats (CRL). Cada component Zabbix només pot tindre un certificat configurat.

Per obtindre més informació sobre la configuració i l'ús de l'autoritat de certificació interna, la generació de peticions de certificats i la seva signatura, la revocació de certificats, trobareu un gran nombre de manuals d'usuari en línia, per exemple, [OpenSSL PKI Tutorial v1.1] (http://pki-tutorial.readthedocs.org/en/latest/).

Reviseu i proveu amb cura les extensions de certificat: veieu Limitacions a les extensions de certificat X.509 v3.

Paràmetres de configuració del certificat

Paràmetre Obligatori Descripció
TLSCAFile Camí complet a un fitxer que conté els certificats de nivell superior de CA per a la verificació de certificats entre iguals.
En cas d'una cadena de certificats amb diversos membres, s'han d'ordenar: primer els certificats de CA de nivell inferior, seguits de certificats de nivell superior.
Els certificats de diverses CA es poden incloure en un sol fitxer.
TLSCRLFile no Camí complet a un fitxer que conté llistes de revocació de certificats. Veieu Llistes de revocació de certificats (CRL).
TLSCertFile yes Camí complet d'un fitxer que conté un certificat (cadena de certificats).
En el cas d'una cadena de certificats amb diversos membres, s'han d'ordenar: primer certificat de servidor, certificat de proxy o agent, seguit de certificats d'inferior nivell i després certificats de CA de nivell superior.
TLSKeyFile yes Camí complet d'un fitxer que conté una clau privada. Estableix els drets d'accés a aquest fitxer: només hauria de ser llegible per l'usuari de Zabbix.
TLSServerCertIssuer no Emissor del certificat del servidor es permet.
TLSServerCertSubject no Titular autoritzat del certificat del servidor.

Configurant un certificat al servidor Zabbix

1. Per tal de verificar els certificats dels parells, el servidor Zabbix ha de tindre accés al fitxer amb els seus certificats de CA arrel autosignats de primer nivell. Per exemple, si esperem certificats de dues CA arrel independents, podem posar els seus certificats al fitxer /home/zabbix/zabbix_ca_file:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ...
       -----BEGIN CERTIFICATE-----
       MIID2jCCAsKgAwIBAgIBATANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ....
       9wEzdN8uTrqoyU78gi12npLj08LegRKjb5hFTVmO
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ....
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ....       
       -----BEGIN CERTIFICATE-----
       MIID3DCCAsSgAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQB
       ...
       vdGNYoSfvu41GQAR5Vj5FnRJRzv5XQOZ3B6894GY1zY=
       -----END CERTIFICATE-----

2. Poseu la cadena de certificats del servidor Zabbix a un arxiu, com ara /home/zabbix/zabbix_server.crt:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix server
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                       ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Digital Signature, Key Encipherment
                   X509v3 Basic Constraints: 
                       CA:FALSE
                   ...
       -----BEGIN CERTIFICATE-----
       MIIECDCCAvCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk
       ...
       h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ==
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 2 (0x2)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE, pathlen:0
               ...
       -----BEGIN CERTIFICATE-----
       MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ...
       dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw==
       -----END CERTIFICATE-----

Aquí el primer és el certificat del servidor Zabbix, seguit del certificat de la CA intermitja.

Es desaconsella l'ús de qualsevol atribut, excepte els esmentats anteriorment, tant per als certificats de client com de servidor, perquè pot afectar el procés de verificació del certificat. Per exemple, l'OpenSSL pot no establir una connexió xifrada si s'estableix X509v3 Extended Key Usage o Netscape Cert Type. Veieu també: Limitacions en l'ús de les extensions de certificat X.509 v3.

3. Poseu la clau privada del servidor Zabbix a un arxiu, com ara /home/zabbix/zabbix_server.key:

-----BEGIN PRIVATE KEY-----
       MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl
       ...
       IJLkhbybBYEf47MLhffWa7XvZTY=
       -----END PRIVATE KEY-----

4. Editeu els paràmetres TLS a l'arxiu de configuració del servidor Zabbix, amb aquest valors:

TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_server.crt
       TLSKeyFile=/home/zabbix/zabbix_server.key

Configuració del xifrat per certificat per al proxy Zabbix

1. Prepareu fitxers amb certificats de CA de primer nivell, certificat de proxy (cadena) i clau privada tal com es descriu a Configuració del certificat al servidor Zabbix. Modifiqueu els paràmetres TLSCAFile, TLSCertFile, TLSKeyFile a la configuració del proxy en conseqüència.

2. Per a un proxy actiu, modifiqueu el paràmetre TLSConnect:

 TLSConnect=cert

Per a un proxy passiu, modifiqueu el paràmetre TLSAccept:

 TLSAccept=cert

3. Ara teniu una configuració mínima de proxy basada en certificats. Opcionalment, podeu millorar la seguretat del proxy configurant els paràmetres TLSServerCertIssuer i TLSServerCertSubject (veieu restriccions de l'emissor i del subjecte permesos).

4. Al fitxer de configuració del proxy final, la configuració de TLS podria semblar així:

 TLSConnect=cert
        TLSAccept=cert
        TLSCAFile=/home/zabbix/zabbix_ca_file
        TLSServerCertIssuer=CN=Signing CA,OU=Grup de desenvolupament,O=Zabbix SIA,DC=zabbix,DC=com
        TLSServerCertSubject=CN=Servidor Zabbix,OU=Grup de desenvolupament,O=Zabbix SIA,DC=zabbix,DC=com
        TLSCertFile=/home/zabbix/zabbix_proxy.crt
        TLSKeyFile=/home/zabbix/zabbix_proxy.key

5. Configureu el xifrat per a aquest proxy a la interfície Zabbix:

  • Aneu a: Administració → Proxys
  • Trieu un proxy i feu clic a la pestanya Xifrat

En els exemples següents, s'emplenen els camps Emissor i Assumpte; veieu a restricció d'emissor i subjecte permesos per què i com emprar aquests camps.

Per a un proxy actiu

proxy_active_cert.png

Per a un proxy passiu

proxy_passive_cert.png

Configuració del xifrat del certificat per a l'agent Zabbix

1. Prepareu fitxers amb certificats de CA de nivell superior, certificat d'agent (cadena) i clau privada tal com es descriu a la configuració del certificat al servidor Zabbix. Modifiqueu els paràmetres TLSCAFile, TLSCertFile, TLSKeyFile a la configuració de l'agent en conseqüència.

2. Per al monitoratge actiu, modifiqueu el paràmetre TLSConnect:

 TLSConnect=cert

Per al monitoratge passiu, modifiqueu el paràmetre TLSAccept:

 TLSAccept=cert

3. Ara teniu una configuració mínima d'agent basada en certificats. Opcionalment, podeu millorar la seguretat de l'agent configurant els paràmetres TLSServerCertIssuer' iTLSServerCertSubject` (veieu Restricció de l'emissor i del subjecte permesos).

4. Al fitxer de configuració de l'agent final, la configuració de TLS podria assemblar-se a:

 TLSConnect=cert
        TLSAccept=cert
        TLSCAFile=/home/zabbix/zabbix_ca_file
        TLSServerCertIssuer=CN=Signing CA,OU=Grup de desenvolupament,O=Zabbix SIA,DC=zabbix,DC=com
        TLSServerCertSubject=CN=Proxy Zabbix,OU=Grup de desenvolupament,O=Zabbix SIA,DC=zabbix,DC=com
        TLSCertFile=/home/zabbix/zabbix_agentd.crt
        TLSKeyFile=/home/zabbix/zabbix_agentd.key

(L'exemple suposa que l'equip s'és monitorant a través d'un proxy, per tant, el CN ​​"subjecte" del certificat s'estableix com a proxy Zabbix).

5. Configureu el xifrat per a aquest agent a la interfície Zabbix:

  • Aneu a: Administració → Equips
  • Trieu l'agent i feu clic a la pestanya Xifrat

A l'exemple següent, s'emplenen els camps Emissor i Assumpte; veieu a restricció de l'emissor i l'assumpte permesos per què i com emprar aquests camps.

agent_config.png

Restricció de l'emissor i receptor autoritzats

Quan dos components (per exemple, el servidor Zabbix i l'agent) estableixen una connexió TLS, cadascun comprova els certificats de l'altre. Si un certificat igual signat per una CA de confiança (amb un certificat de nivell superior preconfigurat a "TLSCAFile") és vàlid, no ha caducat i passa més comprovacions, la comunicació pot continuar. L'emissor i el subjecte del certificat no es comprova en aquest cas més senzill.

Hi ha el risc que qualsevol persona amb un certificat vàlid pugui suplantar la identitat d'una altra persona (per exemple, es pot emprar un certificat d'equip per suplantar la identitat d'un servidor). Això pot ser acceptable en entorns petits on els certificats són signats per una CA interna dedicada i el risc de suplantació d'identitat és baix.

Si la vostra CA de nivell superior s'empra per emetre altres certificats que Zabbix no hauria d'acceptar o si voleu reduir el risc de falsificació, podeu restringir els certificats permesos especificant-ne el remitent i l'assumpte.

Per exemple, podeu escriure al fitxer de configuració del proxy Zabbix:

 TLSServerCertIssuer=CN=Signing CA,OU=Grup de desenvolupament,O=Zabbix SIA,DC=zabbix,DC=com
        TLSServerCertSubject=CN=Servidor Zabbix,OU=Grup de desenvolupament,O=Zabbix SIA,DC=zabbix,DC=com

Amb aquesta configuració, el proxy actiu no es comunicarà amb el servidor Zabbix amb una cadena d'emissor o una cadena de subjecte diferent al certificat, i el proxy passiu no acceptarà peticions d'aquest servidor.

Algunes notes sobre la concordança de la cadena del remitent o de l'assumpte:

  1. Les cadenes del remitent i del subjecte es comproven de manera independent. Tots dos són opcionals.
  2. Es permeten caràcters UTF-8.
  3. La cadena no especificada significa que s'accepta qualsevol cadena.
  4. Les cadenes es comparen "tal com són", han de ser exactament iguals perquè coincideixin.
  5. Els comodins i les expressions regulars no s'admeten a la concordança.
  6. Només s'implementen certs requisits d'RFC 4514 Lightweight Directory Access Protocol (LDAP): String Representation of Distinguished Names:
    1. caràcters d'escapada '"' (U+0022), '+' U+002B, ',' U+002C, ';' U+003B, '<' U+003C, '>' U+003E, '' U+005C en qualsevol lloc de la cadena.
    2. Caràcters d'escapada (' ' U+0020) o el signe de lletra ('#' U+0023) al principi de la cadena.
    3. caràcters d'escapada (' ' U+0020) al final de la cadena.
  7. La coincidència falla si es troba un caràcter nul (U+0000) ([[http://tools.ietf.org/html/rfc4514|RFC 4514]] ho permet).
  8. Els requisits de [[http://tools.ietf.org/html/rfc4517|RFC 4517 Lightweight Directory Access Protocol (LDAP): sintaxis i regles de concordança]] i [[http://tools.ietf.org/ html/rfc4518|RFC 4518 Lightweight Directory Access Protocol (LDAP): preparació de cadenes internacionalitzades]] no s'admeten a causa de la quantitat de treball necessària.

L'ordre dels camps a les cadenes Entrega per i Assumpte i el format són importants! Zabbix segueix les recomanacions de RFC 4514 i empra l'ordre "inversa" dels camps.

L'ordre inversa es pot il·lustrar amb l'exemple següent:

 TLSServerCertIssuer=CN=Signing CA,OU=Grup de desenvolupament,O=Zabbix SIA,DC=zabbix,DC=com
        TLSServerCertSubject=CN=Proxy Zabbix,OU=Grup de desenvolupament,O=Zabbix SIA,DC=zabbix,DC=com

Tingueu en compte que comença amb el nivell baix (CN), va al nivell mitjà (OU, O) i acaba amb els camps de nivell superior (DC).

OpenSSL mostra per defecte els camps Emissor i Assumpte del certificat en ordre "normal", depenent de les opcions addicionals emprades:

 $ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject
        emissor= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Grup de desenvolupament/CN=Signing CA
        subject= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Grup de desenvolupament/CN=Proxy Zabbix
       
        $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt
        Certificació:
                ...
                Emissor: DC=com, DC=zabbix, O=Zabbix SIA, OU=Grup de desenvolupament, CN=Signing CA
            ...
                Assumpte: DC=com, DC=zabbix, O=Zabbix SIA, OU=Grup de desenvolupament, CN=proxy Zabbix

Aquí les cadenes Emissor i Subject comencen amb el nivell superior (DC) i acaben amb un camp de nivell baix (CN), els espais i els separadors de camps depenen de les opcions emprades. Cap d'aquests valors coincidirà als camps Remitent i Assumpte de Zabbix!

Per obtindre les cadenes correctes d'emissor i subjecte que es puguin emprar a Zabbix, executeu OpenSSL amb opcions especials
(-nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname):

$ openssl x509 -noout -issuer -subject \
               -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname \
               -in /home/zabbix/zabbix_proxy.crt
       issuer= CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       subject= CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Ara els camps de cadena són en ordre invers, els camps són separats per comes, es poden emprar en fitxers de configuració i a la interfície Zabbix.

Limitacions sobre les extensions de certificat X.509 v3

  • Extensió Subject AltName (subjectAltName).
    Zabbix no admet els noms d'assumpte alternatius de l'extensió subjectAltName (com l'adreça IP o l'adreça de correu electrònic). Només el valor del camp "Assumpte" es pot comprovar a Zabbix (veieu Restricció de l'emissor i del subjecte permesos).
    Si un certificat empra l'extensió subjectAltName, el resultat dependrà d'una combinació particular de conjunts d'eines criptogràfiques amb què es compilen els components de Zabbix (això pot funcionar o no, Zabbix pot negar-se a acceptar aquests certificats dels seus companys).
  • Extensió Ús de clau estesa.
    Si s'empren, normalment es requereixen els dos paràmetres clientAuth (TLS WWW Client Authentication) i serverAuth (TLS WWW Server Authentication).
    Per exemple, a les comprovacions passives, l'agent Zabbix fa un paper de servidor TLS, de manera que serverAuth s'ha d'establir al certificat de l'agent. Per a les comprovacions actives, el certificat de l'agent requereix la configuració de clientAuth.
    GnuTLS emet un avís si es viola l'ús de la clau, però permet la comunicació.
  • Extensió Name Constraints.
    No tots els kits d'eines de criptografia ho admeten. Aquesta extensió pot evitar que Zabbix carregui certificats de CA per als quals aquesta secció és marcada com a crítica (depèn del conjunt d'eines de criptografia).

Llistes de revocació de certificats (CRL)

Si un certificat és compromès, l'autoritat de certificació pot revocar-lo incloent-lo a la llista de revocació de certificats. Els CRL es poden configurar al fitxer de configuració del servidor, el proxy i l'agent mitjançant el paràmetre TLSCRLFile. Per exemple:

 TLSCRLFile=/home/zabbix/zabbix_crl_file

on zabbix_crl_file pot contindre llistes de revocació de certificats de diverses autoritats de certificació i assemblar-se a:

 -----BEGIN X509 CRL-----
        MIIB/DCB5QIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixkARkWA2Nv
        ...
        treZeUPjb7LSmZ3K2hpbZN7SoOZcAoHQ3GWd9npuctg=
        -----END X509 CRL-----
        -----BEGIN X509 CRL-----
        MIIB+TCB4gIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQBGRYDY29t
        ...
        CAEebS2CND3ShBedZ8YSil59O6JvaDP61lR5lNs=
        -----END X509 CRL-----

El fitxer CRL només es carrega a l'inici de Zabbix. L'actualització de la llista de revocació de certificats requereix un reinici.

Si el component Zabbix es compila amb OpenSSL i s'empren llistes de revocació de certificats, cada CA de nivell superior i mitjà de les cadenes de certificats ha de tindre una llista de revocació de certificats (pot ésser buida) a "TLSCRLFile".

© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy