Documentation

Sidebar

1 マニュアルの構成
2 Zabbixとは
3 Zabbixの機能
4 Zabbixの概要
5 Zabbix 6.0.0 の新機能
6 Zabbix 6.0.1 の新機能
7 Zabbix 6.0.2 の新機能
8 Zabbix 6.0.3 の新機能
9 Zabbix 6.0.4 の新機能
10 Zabbix 6.0.5 の新機能
11 Zabbix 6.0.6 の新機能
12 Zabbix 6.0.7 の新機能
13 Zabbix 6.0.8 の新機能
14 Zabbix 6.0.9の新機能
2. 定義
1 高可用性(HA)
2 Zabbixエージェント
3 Zabbixエージェント2
4 Zabbixプロキシ
1 ソースからのセットアップ
2 RHEL/CentOS パッケージでのセットアップ
3 Debian/Ubuntu パッケージでのセットアップ
6 zabbix_senderコマンド
7 zabbix_getコマンド
8 zabbix_jsコマンド
9 Zabbix Webサービス
1 Zabbixの入手
概要
macOS での Zabbix エージェントのビルド
Windows版Zabbix agent 2の構築
Windows版Zabbix agentの構築
1 Red Hat Enterprise Linux/CentOS
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise Server
4 MSIファイルによるWindows用agentのインストール
6 PKG から Mac OS エージェントのインストール
6 不安定版リリース
5 コンテナでのインストール
Debian/Ubuntu のフロントエンドのインストール
1 Red Hat Enterprise Linux/CentOS
2 Debian/Ubuntu
ソースからのアップグレード
8 既知の問題点
9 テンプレート変更点
10 6.0.0へのアップグレードノート
11 6.0.1へのアップグレードノート
12 6.0.2へのアップグレードノート
13 6.0.3へのアップグレードノート
14 6.0.4へのアップグレードノート
15 6.0.5へのアップグレードノート
16 6.0.6へのアップグレードノート
17 6.0.7へのアップグレードノート
1 ログインとユーザー設定
2 新規ホスト
3 新規アイテム
4 新規トリガー
5 障害発生の通知
6 新規テンプレート
6. Zabbixアプライアンス
1 host の設定
2 インベントリ
3 一括アップデート
1 item キーのフォーマット
2 カスタムインターバル
1 使用例
2 プリプロセッシングの詳細
JSONPath における LLD マクロ値からの特殊文字のエスケープ
追加のJavaScriptオブジェクト
5 CSVからJSONへのプリプロセス
agent 2 固有の item キー
Windows 固有の item キー
1 ダイナミックインデックス
2 特殊なOID
3 MIB ファイル
3 SNMP trap
4 IPMIチェック
VMware監視アイテムキー
6 ログファイル監視
集計計算
8 内部チェック
9 SSH チェック
10 Telnet チェック
11 外部からのチェック
12 Trapper item
13 JMX 監視
1 MySQL の推奨 UnixODBC 設定
2 PostgreSQLの推奨UnixODBC設定
3 Oracle の推奨 UnixODBC 設定
4 MSSQL の推奨 UnixODBC 設定
15 従属item
16 HTTP agent
17 Prometheus チェック
18 スクリプト item
4 History と trends
Zabbix agent の機能拡張
6 ローダブルモジュール
7 Windows パフォーマンスカウンタ
8 一括アップデート
9 値のマッピング
10 キュー
11 値のキャッシュ
12 即時実行
13 agent チェックの制限
14 プラグイン
1 Trigger の 設定
2 Trigger 式
3 トリガーの依存関係
4 Trigger の重要度
5 trigger の重大度のカスタマイズ
6 一括アップデート
7 予兆 trigger 関数
1 トリガーイベントの生成
2 その他のイベントソース
3 問題の手動クローズ
1 トリガーによるイベント相関
2 グローバルイベント相関
6 タグ付け
1 シンプルグラフ
2 カスタムグラフ
3 アドホックグラフ
4 グラフの集計
1 ネットワークマップの設定
2 ホストグループの構成要素
3 リンクインジケーター
3 ダッシュボード
4 ホストダッシュボード
1 テンプレートの設定
2 リンク作成/リンク削除
3 ネストする
4 一括更新
ネットワークデバイス用の標準テンプレート
HTTPテンプレートの操作
IPMIテンプレートの操作
JMXテンプレートの操作
ODBC テンプレート操作
Zabbix agent 2 テンプレートの運用
Zabbix エージェント テンプレートの操作
1 E-mail
2 SMS
3 カスタムアラートスクリプト
Webhook スクリプトの例
1 アクション
1 メッセージの送信
2 リモートコマンド
3 追加操作
4 メッセージでのマクロ使用
3 復旧時実行
4 更新時実行
5 エスカレーション
3 サポート対象外通知の受信
1 マクロ関数
2 ユーザーマクロ
3 コンテキストユーザーマクロ
4 ローレベルディスカバリマクロ
5 式マクロ
1 ユーザの設定
2 ユーザー権限
3 ユーザグループ
13 secrets の保存
14 スケジュールレポート
1 サービスツリー
2 サービスアクション
3 SLA
4 セットアップ例
1 Web監視アイテム
2 シナリオの実例
1 仮想マシンディスカバリキーフィールド
11. メンテナンス
12. 正規表現
13. 問題の認識
1 ホストグループ
2 テンプレート
3 ホスト
4 ネットワークマップ
5 メディアタイプ
1 ネットワークディスカバリルールの設定
2 アクティブエージェントの自動登録
1 アイテムのプロトタイプ
2 トリガーのプロトタイプ
3 グラフのプロトタイプ
4 ローレベルディスカバリにおける注意
1 ファイルシステムマウントの検出
2 ネットワークインターフェースの検出
3 CPUとCPUコアの検出
4 SNMP OIDsの検出
5 JMXオブジェクトの検出
6 IPMIセンサーの検出
7 systemdサービスの検出
8 Windowsサービスの検出
9 Windowsパフォーマンスカウンターインスタンスの検出
10 WMIクエリを使用した検出
11 ODBCSQLクエリを使用した検出
12 Prometheusデータを使用した検出
13 ブロックデバイスの検出
14 Zabbixでのホストインターフェース検出
1 プロキシ
1 証明書の利用
2 事前共有鍵の使用
1 接続タイプまたは権限の問題
2 証明書の問題
3 PSKの問題
1 メニュー
1 アクションログ
2 時刻
3 データの概要
4 ディスカバリのステータス
5 お気に入りのグラフ
6 お気に入りのマップ
7 地理マップ
8 グラフ
9 グラフ(クラシック)
10 グラフのプロトタイプ
11 ホスト稼働状況
12 アイテムの値
13 マップ
14 マップナビゲーション
15 プレーンテキスト
16 障害中のホスト
17 障害
18 深刻度ごとの障害数
19 SLAレポート
20 システム情報
20 上位ホスト
21 トリガーの概要
22 URL
23 Web監視
2 障害
1 グラフ
2 Web シナリオ
4 最新データ
5 マップ
6 ディスカバリ
7 Services
1 サービス
3 SLA
4 SLAレポート
概要
1 ホストインベントリの概要
2 ホスト
1 システム情報
2 定期レポート
3 稼働レポート
4 障害発生数上位100項目
5 監査
6 アクションログ
7 通知レポート
1 ホストグループ
1 アイテム
2 トリガー
3 グラフ
1 アイテムのプロトタイプ
2 トリガーのプロトタイプ
3 グラフのプロトタイプ
4 ホストのプロトタイプ
5 Webシナリオ
1 アイテム
2 トリガー
3 グラフ
1 アイテムのプロトタイプ
2 トリガーのプロトタイプ
3 グラフのプロトタイプ
4 ホストのプロトタイプ
5 Web シナリオ
4 メンテナンス
5 アクション
6 イベント相関関係
7 ディスカバリ
1 一般設定
2 プロキシ
3 認証
4 ユーザーグループ
5 ユーザーの役割
6 ユーザー
7 メディアタイプ
8 スクリプト
9 キュー
1 グローバル通知
2 ブラウザのサウンド
4 グローバルサーチ
5 フロントエンドメンテナンスモード
6 ページパラメーター
7 定義
8 独自テーマ作成
9 デバッグモード
10 Zabbix用Cookie
11 タイムゾーン
12 リブランド
> Action object
action.create
action.delete
action.get
action.update
> Alert object
alert.get
apiinfo.version
> Audit log object
auditlog.get
> Authentication object
authentication.get
authentication.update
> Autoregistration object
autoregistration.get
autoregistration.update
configuration.export
configuration.import
configuration.importcompare
> Correlation object
correlation.create
correlation.delete
correlation.get
correlation.update
> Dashboard object
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Discovered host object
dhost.get
> Discovered service object
dservice.get
> Discovery check object
dcheck.get
> Discovery rule object
drule.create
drule.delete
drule.get
drule.update
> Event object
event.acknowledge
event.get
> Graph object
graph.create
graph.delete
graph.get
graph.update
> Graph item object
graphitem.get
> Graph prototype object
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> High availability node object
hanode.get
> History object
history.clear
history.get
> Host object
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Host group object
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> Host interface object
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Host prototype object
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Housekeeping object
housekeeping.get
housekeeping.update
> Icon map object
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Image object
image.create
image.delete
image.get
image.update
> Item object
item.create
item.delete
item.get
item.update
> Item prototype object
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> LLD rule object
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Maintenance object
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Map object
map.create
map.delete
map.get
map.update
> Media type object
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Problem object
problem.get
> Proxy object
proxy.create
proxy.delete
proxy.get
proxy.update
> Regular expression object
regexp.create
regexp.delete
regexp.get
regexp.update
> Report object
report.create
report.delete
report.get
report.update
> Role object
role.create
role.delete
role.get
role.update
> Script object
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
script.update
> Service object
service.create
service.delete
service.get
service.getsla
service.update
Settings
settings.get
settings.update
> SLA object
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> Task object
task.create
task.get
> Template object
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Template dashboard object
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Token object
token.create
token.delete
token.generate
token.get
token.update
> Trend object
trend.get
> Trigger object
trigger.adddependencies
trigger.create
trigger.delete
trigger.deletedependencies
trigger.get
trigger.update
> Trigger prototype object
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> User object
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.unblock
user.update
> User group object
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> User macro object
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Value map object
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Web scenario object
httptest.create
httptest.delete
httptest.get
httptest.update
6.0 での Zabbix API 変更内容
付録 1. 参考文献の解説
付録2.5.4から6.0への変更点
20. モジュール
1 FAQ / トラブルシューティング
1 データベースの作成
2 Zabbixデータベースのキャラクターセットと照合の修正
3 データベースの主キーのアップグレード
1 MySQLの暗号化設定
2 PostgreSQLの暗号化設定
5 TimescaleDBのセットアップ
6 Elasticsearch のセットアップ
7 イベント、アイテム値、トレンドのリアルタイムエクスポート
8 Zabbix用Nginxのセットアップに関するディストリビューション固有の注意事項
9 ルートとしてエージェントを実行中の場合
10 MicrosoftWindows上のZabbixエージェント
11 Oktaを使用したSAMLセットアップ
12 オラクルデータベースセットアップ
13 レポートスケジュールの設定
14 フロントエンドへの言語追加
1 Zabbix サーバー
2 Zabbix プロキシ
3 Zabbix エージェント (UNIX)
4 Zabbix エージェント 2 (UNIX)
5 Zabbix エージェント (Windows)
6 Zabbix エージェント 2 (Windows)
1 Ceph プラグイン
2 Docker プラグイン
3 Memcached プラグイン
4 Modbus プラグイン
5 MongoDB プラグイン
6 MQTT プラグイン
7 MySQL プラグイン
8 オラクルプラグイン
9 PostgreSQL プラグイン
10 Redisプラグイン
11 スマートプラグイン
8 Zabbix Java ゲートウェイ
9 Zabbix Webサービス
10 インクルード
1 サーバープロキシデータ交換プロトコル
2 Zabbix エージェントのプロトコル
3 Zabbix エージェント 2 プロトコル
4 Zabbix sender プロトコル
5 ヘッダー
6 リアルタイムエクスポートプロトコル
1 各プラットフォームでサポートされているアイテム
2 vm.memory.size パラメーター
3 パッシブおよびアクティブ エージェント チェック
4 トラッパーアイテム
5 Windowsエージェントアイテムの最小アクセス許可レベル
6 戻り値のエンコード
7 ラージファイルサポート
8 センサー
9 proc.memアイテムのmemtypeパラメーターに関する注記
10 proc.memおよびproc.numアイテムでのプロセスの選択に関する注記
11 net.tcp.serviceおよびnet.udp.serviceチェックの実装の詳細
12 到達不能または使用不可のホストインターフェイス設定
13 Zabbix統計のリモートモニタリング
14 Zabbixを使用したKerberosの設定
15 modbus.getパラメーター
16 VMware のカスタム パフォーマンス カウンター名作成
1 Foreach 関数
2 Bitwise functions
3 日時関数
4 ヒストリ関数
5 トレンド関数
6 数学関数
7 オペレーター関数
8 予測関数
9 文字列関数
1 サポートされているマクロ
2 ロケーションでサポートされているユーザーマクロ
8 単位と記号
9 日時フォーマット
10 コマンドの実行
13 バージョン間の互換性
14 データベースエラーハンドリング
15 Windows用のZabbix sender ダイナミックリンクライブラリ
16 Issues with SELinux
17 サービスモニタリングのアップグレード
18 Agent と agent 2 の比較
18 その他の問題
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service
Zabbix Summit 2022
Register for Zabbix Summit 2022

Table of Contents

1 証明書の利用

概要

Zabbix では、公開または社内CAによって署名されたPEM形式のRSA証明書を使用することができます。
証明書の検証は、事前に設定されたCA証明書と照合します。オプションとして、証明書リボケーションリスト(CRL)を
使用することができます。
各Zabbixコンポーネントに設定できる証明書は1つだけです。

内部CAの設定と操作方法、証明書要求の生成と署名方法、証明書の失効方法の詳細については、
[OpenSSL PKI Tutorial v1.1] (http://pki-tutorial.readthedocs.org/en/latest/) などのオンラインHowToを参照してください。

証明書の拡張を慎重に検討し、テストしてください。
Limitations on using X.509 v3 certificate extensions を参照してください。

証明書の設定パラメータ

パラメータ 必須 説明
TLSCAFile * ピア証明書検証用の最上位 CA(s) 証明書を含むファイルのフル パス名。
複数のメンバーを持つ証明書チェーンの場合は、それらを順序付ける必要があります。最初に下位レベルの CA 証明書、次に上位レベルの CA(s) の証明書が続きます。
複数のCA(s)からの証明書を 1 つのファイルに纏めることができます。
TLSCRLFile 証明書失効リストを含むファイルのフル パス名。 証明書失効リスト (CRL) の注釈を参照してください。
TLSCertFile * 証明書 (証明書チェーン) を含むファイルのフル パス名。
複数のメンバーを持つ証明書チェーンの場合、最初にサーバー、プロキシ、またはエージェントの証明書、次に下位レベルの CA 証明書、次に上位レベルの CA(s)証明書の順に並べる必要があります。
TLSKeyFile * 秘密鍵を含むファイルのフル パス名。このファイルはZabbix ユーザーだけが読み取れるようにアクセス権を設定する必要があります。
TLSServerCertIssuer 許可されたサーバー証明書の発行者。
TLSServerCertSubject 許可されたサーバー証明書のサブジェクト。

Zabbixサーバでの証明書設定

1. 相手の証明書を検証するために、Zabbixサーバは相手のトップレベルの自己署名付きルートCA証明書のファイルに
アクセスする必要があります。例えば、2つの独立したルートCAからの証明書が必要な場合、これらの証明書を
以下のようにファイル /home/zabbix/zabbix_ca_file に格納します:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ...
       -----BEGIN CERTIFICATE-----
       MIID2jCCAsKgAwIBAgIBATANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ....
       9wEzdN8uTrqoyU78gi12npLj08LegRKjb5hFTVmO
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ....
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ....       
       -----BEGIN CERTIFICATE-----
       MIID3DCCAsSgAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQB
       ...
       vdGNYoSfvu41GQAR5Vj5FnRJRzv5XQOZ3B6894GY1zY=
       -----END CERTIFICATE-----

2. Zabbixサーバ証明書チェーンをファイル(例:/home/zabbix/zabbix_server.crt)に格納します:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix server
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                       ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Digital Signature, Key Encipherment
                   X509v3 Basic Constraints: 
                       CA:FALSE
                   ...
       -----BEGIN CERTIFICATE-----
       MIIECDCCAvCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk
       ...
       h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ==
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 2 (0x2)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE, pathlen:0
               ...
       -----BEGIN CERTIFICATE-----
       MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ...
       dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw==
       -----END CERTIFICATE-----

ここでは、最初にZabbix server 証明書、その後に中間CA証明書を掲載しています。

3. Zabbix server の秘密鍵をファイル(例: /home/zabbix/zabbix_server.key) に格納します:

-----BEGIN PRIVATE KEY-----
       MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl
       ...
       IJLkhbybBYEf47MLhffWa7XvZTY=
       -----END PRIVATE KEY-----

4. Zabbixサーバ設定ファイルのTLSパラメータを以下のように編集してください:

TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_server.crt
       TLSKeyFile=/home/zabbix/zabbix_server.key

Zabbix proxy における証明書ベースの暗号化設定

1. Zabbixサーバの証明書設定(/manual/encryption/using_certificates#configuring_certificate_on_zabbix_server)に従って、
トップレベルCA証明書、proxy 証明書(チェーン)、秘密鍵のファイルを準備します。
proxy 設定のパラメータ TLSCAFileTLSCertFileTLSKeyFile を適宜編集してください。

2. アクティブ proxy は、TLSConnect パラメータを編集してください:

TLSConnect=cert

パッシブ proxy では、TLSAccept パラメータを編集します:

TLSAccept=cert

3. これで最小限の証明書ベースのプロキシ設定ができました。TLSServerCertIssuerTLSServerCertSubject パラメータを
設定して、プロキシのセキュリティを向上させることもできます (参照 Restricting allowed certificate Issuer and Subject).

4. 最終的なプロキシ設定ファイルでは、TLSパラメータは次のようになります:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_proxy.crt
       TLSKeyFile=/home/zabbix/zabbix_proxy.key

5. Zabbixフロントエンドでこの proxy の暗号化を設定します:

  • Administration → Proxies に移動します。
  • proxy を選択し、Encryption タブをクリックします

以下の例では、Issuer と Subject のフィールドに入力されています。
[Restricting allowed certificate Issuer and Subject] (/manual/encryption/using_certificates#restricting_allowed_certificate_issuer_and_subject) を参照してください。
これらのフィールドを使用する理由と方法について説明します。

アクティブ proxy

proxy_active_cert.png

パッシブ proxy

proxy_passive_cert.png

Zabbix agent の証明書ベースの暗号化設定

1. トップレベルCA証明書、agent 証明書(チェーン)、秘密鍵のファイルを準備します。 Configuring certificate on Zabbix server の説明に従って、トップレベルのCA証明書(チェーン)と秘密鍵のファイルを準備します。
それに応じて、agent 設定のパラメータ TLSCAFileTLSCertFileTLSKeyFile を編集してください。

2. アクティブチェックのために、TLSConnectパラメータを編集してください:

TLSConnect=cert

パッシブチェックのためには、TLSAccept パラメータを編集してください:

TLSAccept=cert

3. これで、最小限の証明書ベースのエージェント設定ができました。TLSServerCertIssuerTLSServerCertSubject
パラメータを設定することで、エージェントのセキュリティを向上させることができます。
(Restricting allowed certificate Issuer and Subject を参照してください).

4. 最終的なエージェント設定ファイルでは、TLSパラメータは以下のようになります:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_agentd.crt
       TLSKeyFile=/home/zabbix/zabbix_agentd.key

(この例では、proxy 経由でホストを監視しているため、proxy 証明書の Subject を想定しています)

5. Zabbixフロントエンドでこの agent の暗号化を設定します:

  • Configuration → Hosts に移動します。
  • ホストを選択し、Encryption タブをクリックします。

以下の例では、IssuerとSubjectフィールドが入力されています。
これらのフィールドを使用する理由と方法は、[Restricting allowed certificate Issuer and Subject (/manual/encryption/using_certificates#restricting_allowed_certificate_issuer_and_subject)を参照してください。

agent_config.png

許可された証明書の発行者とサブジェクトを制限する

2 つの Zabbix コンポーネント (サーバーとエージェントなど) が TLS 接続を確立すると、両者は互いの証明書をチェックします。 ピア証明書が信頼できる CA によって署名されている場合 (TLSCAFile に最上位の証明書が事前構成されている場合)、有効で、有効期限が切れておらず、他のチェックに合格すると、通信を続行できます。 この最も単純なケースでは、証明書の発行者とサブジェクトはチェックされません。

これにはリスクがあり、有効な証明書を持っている人なら誰でも、他の人になりすますことができます (たとえば、ホスト証明書を使用してサーバーになりすますことが可能)。 これは証明書が専用の社内 CA によって署名され、なりすましのリスクが低い小規模な環境では許容される場合があります。

トップレベルの CA が、Zabbix によって受け入れられない他の証明書の発行に使用されている場合、またはなりすましのリスクを軽減したい場合は、発行者とサブジェクトの文字列を指定して、許可される証明書を制限できます。

たとえばZabbix プロキシ構成ファイルに次のように記述します。

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

これらの設定では、アクティブ プロキシは証明書の異なる発行者またはサブジェクト文字列を持つ Zabbix サーバーと通信しません。パッシブ プロキシはそのようなサーバーからの要求を受け入れません。

発行者または件名の文字列の一致に関するいくつかの注意事項:

  1. 発行者と件名の文字列は個別にチェックされます。 どちらもオプションです。
  2. UTF-8 文字を使用できます。
  3. 文字列が指定されていない場合、任意の文字列が受け入れられます。
  4. 文字列は"そのまま"比較されます。一致するにはまったく同じでなければなりません。
  5. 一致では、ワイルドカードと正規表現はサポートされていません。
  6. RFC 4514 Lightweight Directory Access Protocol (LDAP): String Representation of Distinguished Namesの一部要件のみが実装されています。
    1. 任意の場所のエスケープ文字 '"' (U+0022)、'+' U+002B、',' U+002C、';'U+003B、'<' U+003C、'>' U+003E、'\' U+005C
    2. 文字列の先頭にあるエスケープ文字スペース (' ' U+0020) または番号記号 ('#'U+0023)
    3. 文字列の末尾のエスケープ文字スペース (' ' U+0020)
  7. null 文字 (U+0000) が検出された場合、一致は失敗します (RFC4514 で許可されています)
  8. RFC 4517 Lightweight Directory Access Protocol (LDAP): Syntaxes and Matching Rules および RFC 4518 Lightweight Directory Access Protocol (LDAP): Internationalized String Preparation は、多くの作業が必要なためサポートされていません。

Issuer および Subject 文字列のフィールドの順序とフォーマットは重要です。 Zabbix は RFC4514 の推奨に従い、フィールドの"逆"順を使用します。

逆順例:

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

低レベル (CN) で始まり、中レベル (OU、O) に進み、最上位 (DC) フィールドで終わることに注意してください。

OpenSSL では、使用する追加オプションに応じて、デフォルトで証明書の発行者フィールドとサブジェクト フィールドが"通常の"順序で表示されます。

$ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject
       issuer= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Signing CA
       subject= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Zabbix proxy
       
       $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt
       Certificate:
               ...
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
           ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix proxy

ここで、発行者とサブジェクトの文字列はトップレベル (DC) で始まり、ローレベル (CN) フィールドで終わります。スペースとフィールド区切り文字は、使用するオプションによって異なります。 これらの値はいずれも、Zabbix 発行者フィールドとサブジェクト フィールドで一致しません!

Zabbix で使用できる適切な発行者と件名の文字列を取得するには、特別なオプションを指定して OpenSSL を呼び出します
-nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname:

$ openssl x509 -noout -issuer -subject \
               -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname \
               -in /home/zabbix/zabbix_proxy.crt
       issuer= CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       subject= CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

文字列フィールドが逆順になり、フィールドがカンマで区切られ、Zabbix 構成ファイルとフロントエンドで使用できるようになりました。

X.509 v3 証明書拡張の使用に関する制限

  • 件名の別名(subjectAltName)拡張
    subjectAltName拡張からの代替件名(IPアドレス、電子メールアドレス等)は、Zabbixではサポートされていません。 Zabbixで確認できるのは"Subject"フィールドの値のみです (許可された証明書の発行者とサブジェクトの制限 を参照してください)。
    証明書が subjectAltName 拡張子を使用している場合、結果は、Zabbix コンポーネントがコンパイルされている暗号化ツールキットの特定の組み合わせによって異なります (動作する場合と動作しない場合があり、Zabbix はピアからのそのような証明書の受け入れを拒否する場合があります)。
  • 拡張キーの使用拡張。
    使用する場合、一般に clientAuth (TLS WWW クライアント認証) と serverAuth (TLS WWW サーバー認証) の両方が必要です。
    たとえば、パッシブ チェックでは、Zabbix エージェントは TLS サーバーの役割で動作するため、serverAuth をエージェント証明書に設定する必要があります。 アクティブ チェックのエージェント証明書には、clientAuth を設定する必要があります。
    GnuTLS は、鍵の使用法に違反した場合に警告を発行しますが、通信は続行できます。
  • 名前制約 拡張
    すべての暗号化ツールキットがサポートしているわけではありませんが、この拡張機能により、このセクションが重要とマークされているCA証明書を Zabbix がロードできない場合があります (暗号化ツールキットによって異なります)。

証明書失効リスト(CRL)

証明書が漏洩した場合、CAはCRLに記載することで証明書を失効させることができます。CRL は server 、proxy、agent の コンフィギュレーションファイルで TLSCRLFile というパラメータを使って設定することができます。 例えば、以下のようになります:

TLSCRLFile=/home/zabbix/zabbix_crl_file

zabbix_crl_file には複数の CA の CRL が含まれ、以下のように表示されることがあります:

-----BEGIN X509 CRL-----
       MIIB/DCB5QIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixkARkWA2Nv
       ...
       treZeUPjb7LSmZ3K2hpbZN7SoOZcAoHQ3GWd9npuctg=
       -----END X509 CRL-----
       -----BEGIN X509 CRL-----
       MIIB+TCB4gIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQBGRYDY29t
       ...
       CAEebS2CND3ShBedZ8YSil59O6JvaDP61lR5lNs=
       -----END X509 CRL-----

CRLファイルは Zabbix 起動時のみ読み込まれます。CRLの更新には再起動が必要です

ZabbixコンポーネントがOpenSSLでコンパイルされ、CRLを使用する場合、証明書チェーンのトップレベル及び
中間レベルの各CAは、TLSCRLFileに対応するCRL(空でも可)を持つ必要があります。

© 2001-2022 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy