Documentation

1 手动结构
2 什么是 Zabbix
3 项 Zabbix 功能
4 Zabbix 概览
5 Zabbix 6.0.0 新特性
6 Zabbix 6.0.1 的新特性
7 Zabbix 6.0.2 新特性
8 Zabbix 6.0.3 新特性
9 Zabbix 6.0.4 新特性
10 Zabbix 6.0.5 新特性
11 Zabbix 6.0.6 新特性
12 Zabbix 6.0.7 新特性
13 Zabbix 6.0.8 新特性
14 Zabbix 6.0.9 新特性
15 Zabbix 6.0.10 新特性
16 Zabbix 6.0.11 新特性
17 Zabbix 6.0.12 的新特性
18 Zabbix 6.0.13 新特性
19 Zabbix 6.0.14 版本新特性
20 Zabbix 6.0.15 新特性
21 Zabbix 6.0.16 新特性
22 Zabbix 6.0.17 的新特性
24 Zabbix 6.0.19 新特性
25 Zabbix 6.0.20 新特性
26 Zabbix 6.0.21 的新特性
27 Zabbix 6.0.22 的新特性
28 Zabbix 6.0.23 新特性
29 Zabbix 6.0.24 新特性
30 Zabbix 6.0.25 的新特性
31 Zabbix 6.0.26 新特性
32 Zabbix 6.0.27 新特性
33 Zabbix 6.0.28 新特性
34 Zabbix 6.0.29 新特性
35 Zabbix 6.0.30 新特性
37 Zabbix 6.0.32 的新特性
38 Zabbix 6.0.33 的新特性
39 Zabbix 6.0.34 新特性
40 Zabbix 6.0.35 新特性
41 Zabbix 6.0.36 新特性
42 Zabbix 6.0.37 新特性
43 Zabbix 6.0.38 新特性
44 Zabbix 6.0.39 新特性
45 Zabbix 6.0.40 新特性
46 Zabbix 6.0.41 新特性
47 What's new in Zabbix 6.0.42
Zabbix 6.0.18 的新特性
Zabbix 6.0.31 的新特性
2 定义
1 高可用性
2 Agent
3 Agent 2
4 Proxy
1 从源代码安装
2 从 RHEL 软件包安装
3 从Debian/Ubuntu软件包安装
6 Sender
7 获取
8 JS
9 Web 服务
1 获取 Zabbix
1 Zabbix 安全配置最佳实践
1 在Windows上构建Zabbix agent
2 在Windows上构建Zabbix agent 2
3 在macOS上构建Zabbix agent
1 红帽企业版 Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise Server
4 Windows agent 通过 MSI 安装
5 从PKG安装Mac OS agent
6 个不稳定版本
OpenShift 环境安装
1 Debian/Ubuntu 前端安装
1 从源代码升级
1 红帽企业版 Linux
2 Debian/Ubuntu
1 编译 问题
9 模板变更
10 6.0.0 版本升级注意事项
11 6.0.1 更新说明
12 6.0.2 版本升级说明
13 6.0.3 版本升级说明
14 6.0.4 版本升级说明
15 6.0.5 版本升级说明
16 6.0.6 版本升级说明
17 6.0.7 版本升级说明
18 6.0.8 版本升级说明
19 6.0.9 版本升级说明
20 6.0.10 版本升级说明
21 6.0.11 版本升级说明
22 6.0.12 升级说明
23 6.0.13 版本升级说明
24 6.0.14 版本升级说明
25 6.0.15 版本升级说明
26 6.0.16 版本升级说明
27 6.0.17 版本升级说明
28 6.0.18 版本升级说明
29 6.0.19 版本升级说明
30 6.0.20 版本升级说明
31 6.0.21 版本升级说明
32 6.0.22 版本升级说明
33 6.0.23 版本升级说明
34 6.0.24 版本升级说明
35 6.0.25 版本升级说明
36 6.0.26 版本升级说明
37 6.0.27 版本升级说明
38 6.0.28 版本升级说明
39 6.0.29 版本升级说明
40 6.0.30版本升级说明
41 6.0.31 版本升级说明
42 6.0.32 版本升级说明
43 6.0.33 版本升级说明
44 6.0.34 版本升级说明
45 6.0.35 版本升级说明
46 6.0.36 版本升级说明
47 6.0.37 版本升级说明
48 6.0.38 版本升级说明
49 6.0.39 版本升级注意事项
50 6.0.40 版本升级说明
51 6.0.41 版本升级说明
52 Upgrade notes for 6.0.42
1 登录与用户配置
2 新主机
3 新建 监控项
4 新触发器
5 接收问题通知
6 新模板
6 Zabbix设备
1 触发器事件生成
2 其他事件源
3 手动关闭问题
1 配置主机
2 配置主机组
3 资产清单
4 批量更新
1 监控项 键格式
2 自定义间隔
1 使用示例
2 预处理详情
1 从JSONPath中的LLD宏值转义特殊字符
1 附加 JavaScript objects
5 CSV 到 JSON 预处理
1 监控项 键值特定于 agent 2
2 个 Windows 特定的 监控项 键
1 动态索引
2 个特殊 OID
3 MIB文件
3 SNMP陷阱
4 项 IPMI 检查
1 VMware 监控 监控项 键值
6 日志文件监控
1 聚合计算
8 项内部检查
9 SSH检查
10 Telnet检查
11 外部检查
12 Trapper 监控项
13 JMX 监控
1 针对 MySQL 的推荐 UnixODBC 设置
2 针对 PostgreSQL 的推荐 UnixODBC 设置
3 适用于 Oracle 的推荐 UnixODBC 设置
4 个适用于 MSSQL 的推荐 UnixODBC 设置
15 依赖 监控项
16 HTTP agent
17 个 Prometheus 检查
18 脚本监控项
4 历史数据与趋势
1 扩展 Zabbix agents
6 可加载模块
7 个 Windows 性能计数器
8 批量更新
9 值映射
10 队列
11 值缓存
12 立即执行
13 限制 agent 检查
1 构建可加载插件
1 配置触发器
2 触发器表达式
3 触发器依赖
4 触发器严重性
5 自定义触发器严重性级别
6 批量更新
7 种预测性触发器函数
1 基于触发器的事件关联
2 全局事件关联
6 标记
1 简单图表
2 个自定义图表
3 个临时图表
4 图表中的聚合
1 配置网络拓扑图
2 个主机组元素
3 个链接指示器
3 仪表板
4 主机仪表盘
1 配置模板
2 关联/取消关联
3 嵌套
4 批量更新
1 Zabbix agent模板操作
2 Zabbix agent 2模板操作
3 HTTP模板操作
4 IPMI模板操作
5 JMX模板操作
6 ODBC模板操作
7 个标准化网络设备模板
1 电子邮件
2 条短信
3 自定义告警脚本
1 Webhook 脚本示例
1 条件
1 发送消息
2 远程命令
3 附加操作
4 在消息中使用宏
3 恢复操作
4 更新操作
5 Escalations
3 接收关于不受支持的 监控项 的通知
1 宏函数
2 用户宏
3 个带上下文的用户宏
4 低级发现宏
5 个表达式宏
1 配置用户
2 权限
3 个用户组
13 密钥存储
14 计划报告
1 服务树
2 服务操作
3 SLA
4 设置示例
1 Web 监控
2 实际场景
1 虚拟机发现关键字段
11 维护
12 正则表达式
13 问题确认
1 主机组
2 模板
3 主机
4 网络拓扑图
5 媒体类型
1 配置网络发现规则
2 个活跃的 agent 自动注册
1 监控项原型
2 触发器原型
3 图表原型
4 低级发现注意事项
1 已挂载文件系统的发现
2 网络接口发现
3 CPU 与 CPU 核心的发现
4 SNMP OID 发现
5 JMX 发现 objects
6 IPMI 传感器发现
7 systemd 服务发现
8 Windows 服务发现
9 Windows性能计数器实例的发现
10 使用 WMI 进行发现 queries
11 使用 ODBC SQL 进行发现 queries
12 使用 Prometheus 数据进行发现
13 块设备发现
14 Zabbix 中的主机接口发现
6 条自定义 LLD 规则
1 Proxies
1 使用证书
2 使用预共享密钥
1 连接类型或权限问题
2 个证书问题
3 个 PSK 问题
1 菜单
1 操作日志
2 时钟
3 数据概览
4 发现状态
5 收藏图表
6 收藏地图
7 地理地图
8 图形
9 图形(经典)
10 图形原型
11 主机可用性
12 监控项 值
13 地图
14 地图导航树
15 纯文本
16 问题主机
17 问题
18 按严重程度分类的问题
19 SLA 报告
20 系统信息
21 Top 主机
22 触发器概览
23 URL
24 Web 监控
2 问题
1 图表
2 Web 场景
4 最新数据
5 地图
6 发现
1 服务
2 服务操作
3 SLA
4 SLA 报告
1 概览
2 主机
1 系统信息
2 计划报告
3 可用性报告
4 触发器 Top 100
5 审计
6 操作日志
7 通知
1 主机组
1 监控项
2 触发器
3 图形
1 监控项原型
2 触发器原型
3 图表原型
4 主机原型
5 Web 场景
1 监控项
2 触发器
3 图形
1 监控项原型
2 触发器原型
3 图表原型
4 主机原型
5 Web 场景
4 维护
5 动作
6 事件关联
7 发现
1 概述
2 Proxies
3 认证
4 个用户组
5 用户角色
6 用户
7 媒介类型
8 脚本
9 队列
1 全局通知
2 浏览器声音
4 全局搜索
5 前端维护模式
6 页面参数
7 定义
8 创建自定义主题
9 调试模式
10 Zabbix 使用的 Cookies
11 时区
12 密码重置
apiinfo.version
> LLD 规则 object
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Proxy object
proxy.create
proxy.delete
proxy.get
proxy.update
> Web 场景 object
httptest.create
httptest.delete
httptest.get
httptest.update
> 主机 object
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> 主机原型 object
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> 主机接口 object
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> 主机组 object
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> 事件 object
event.acknowledge
event.get
> Token object
token.create
token.delete
token.generate
token.get
token.update
> 仪表盘 object
1 Action log
2 时钟
3 数据概览
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 地理地图
8 图形
9 图形(经典)
10 图形原型
11 Host availability
12 监控项 值
13 地图
14 地图导航树
15 纯文本
16 问题主机
17 问题
18 按严重程度分类的问题
19 SLA 报告
20 System information
21 Top 主机
22 触发器概览
23 URL
24 Web 监控
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> 任务 object
task.create
task.get
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
值映射 object
correlation.create
correlation.delete
correlation.get
correlation.update
关联 object
> 操作 object
action.create
action.delete
action.get
action.update
> 历史记录 object
history.clear
history.get
dcheck.get
发现检查 object
> 发现规则 object
drule.create
drule.delete
drule.get
drule.update
> 告警 object
alert.get
> 镜像 object
image.create
image.delete
image.get
image.update
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
图标映射 object
> 图表 object
graph.create
graph.delete
graph.get
graph.update
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
图形原型 object
> 图表 监控项 object
graphitem.get
> 映射 object
map.create
map.delete
map.get
map.update
> 媒介类型 object
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> 审计日志 object
auditlog.get
> 已发现主机 object
dhost.get
> 已发现服务 object
dservice.get
> 报告 object
report.create
report.delete
report.get
report.update
> 数据清理 object
housekeeping.get
housekeeping.update
> 服务 object
service.create
service.delete
service.get
service.update
sla.create
sla.delete
sla.get
sla.getsli
sla.update
SLA object
> 模板 object
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> 模板仪表盘 object
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> 正则表达式 object
regexp.create
regexp.delete
regexp.get
regexp.update
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.unblock
user.update
用户 object
> 用户宏 object
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> 用户组 object
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> 监控项 object
item.create
item.delete
item.get
item.update
> 监控项 原型 object
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> 维护 object
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> 脚本 object
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
script.update
> 自动注册 object
autoregistration.get
autoregistration.update
> 角色 object
role.create
role.delete
role.get
role.update
trigger.adddependencies
trigger.create
trigger.delete
trigger.deletedependencies
trigger.get
trigger.update
触发器 object
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
触发器原型 object
> 认证 object
authentication.get
authentication.update
> 设置 object
settings.get
settings.update
> 趋势 object
trend.get
configuration.export
configuration.import
configuration.importcompare
> 问题 object
problem.get
> 高可用节点 object
hanode.get
Zabbix API 在 6.0 版本中的变更
附录 1. 参考注释
附录 2. 从 5.4 到 6.0 的变更
20 模块
1 数据库创建
2 修复Zabbix数据库字符集与排序规则
3 数据库升级至主键
1 MySQL 加密配置
2 PostgreSQL 加密配置
5 TimescaleDB 设置
6 Elasticsearch 配置
7 事件、监控项值和趋势的实时导出
8 针对 Zabbix 设置 nginx 的发行版特定说明
9 以 root 身份运行 agent
10 Zabbix agent 在 Microsoft Windows 上
11 使用Microsoft Entra ID配置SAML
12 使用 Okta 的 SAML 设置
13 Oracle 数据库设置
14 设置定时报告
15 附加前端语言
1 Zabbix server
2 Zabbix proxy
3 Zabbix agent (UNIX)
4 Zabbix agent 2 (UNIX)
5 Zabbix agent (Windows)
6 Zabbix agent 2 (Windows)
1 Ceph 插件
2 Docker 插件
3 Ember+ 插件
4 Memcached 插件
5 Modbus 插件
6 MongoDB 插件
7 MQTT 插件
8 MSSQL 插件
9 MySQL 插件
10 Oracle 插件
11 PostgreSQL 插件
12 Redis 插件
13 SMART 插件
8 Zabbix Java gateway
9 Zabbix Web 服务
10 包含
1 服务器-proxy 数据交换协议
2 Zabbix agent 协议
3 Zabbix agent 2 协议
4 Zabbix agent 2 插件协议
5 Zabbix sender 协议
6 标题
7 实时导出协议
1 监控项 平台支持
2 个 vm.memory.size 参数
3 被动与主动 agent 检查
4 捕获器 监控项
5 Windows agent 监控项 的最低权限级别
6 返回值编码
7 大文件支持
8 传感器
9 proc.mem 监控项中 memtype 参数的使用说明
10 关于在 proc.mem 和 proc.num 监控项中选择进程的注意事项
11 net.tcp.service 与 net.udp.service 检查的实现细节
12 不可达/不可用主机接口设置
13 Zabbix 统计数据的远程监控
14 使用 Zabbix 配置 Kerberos
15 modbus.get 参数
16 为 VMware 创建自定义性能计数器名称
17 关于 Windows 系统下 system.cpu.util 监控项 的注意事项
1 循环处理函数
2 位运算函数
3 日期时间函数
4 历史数据函数
5 趋势函数
6 数学函数
7 操作员功能
8 个预测函数
9 string 函数
1 支持的宏
2 按位置支持的用户宏
7 单位符号
8 时间段语法
9 命令执行
10 版本兼容性
11 数据库错误处理
12 Windows版Zabbix sender动态链接库
13 Zabbix API的Python库
14 服务监控升级
15 其他问题
16 Agent与agent 2对比
17 转义示例
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

1 MySQL 加密配置

概述

本节提供针对CentOS 8.2和MySQL 8.0.21的若干加密配置示例,可作为快速入门指南用于加密数据库连接。

若 MySQL 主机设置为localhost,加密选项将不可用。此时Zabbix前端与数据库之间的连接会使用套接字file(Unix系统)或共享内存memory(Windows系统),且无法进行加密。

加密组合方案不仅限于本页所列内容,实际存在更多可用组合。

先决条件

official repository安装MySQL数据库.

有关如何使用MySQL仓库的详细信息,请参阅MySQL documentation.

MySQL服务器已准备就绪,可使用自签名证书接受安全连接.

要查看哪些用户正在使用加密连接,请run以下query(需开启Performance Schema):

mysql> SELECT sbt.variable_value AS tls_version, t2.variable_value AS cipher, processlist_user AS user, processlist_host AS 主机 FROM performance_schema.status_by_thread AS sbt JOIN performance_schema.threads AS t ON t.thread_id = sbt.thread_id JOIN performance_schema.status_by_thread AS t2 ON t2.thread_id = t.thread_id WHERE sbt.variable_name = 'Ssl_version' and t2.variable_name = 'Ssl_cipher' ORDER BY tls_version;

仅传输加密

MySQL配置

现代版本的数据库已为required提供开箱即用的支持 术语. A 服务器端证书将在初始设置和启动后创建。

为主组件创建用户和角色:

mysql> CREATE USER   
        'zbx_srv'@'%' IDENTIFIED WITH mysql_native_password BY '<strong_password>',   
        'zbx_web'@'%' IDENTIFIED WITH mysql_native_password BY '<strong_password>'
        REQUIRE SSL   
        PASSWORD HISTORY 5; 
       
       mysql> CREATE ROLE 'zbx_srv_role', 'zbx_web_role';

mysql> 创建角色 'zbx_srv_role', 'zbx_web_role';

mysql> GRANT SELECT, UPDATE, DELETE, INSERT, CREATE, DROP, ALTER, INDEX, REFERENCES ON zabbix.* TO 'zbx_srv_role'; 
       mysql> GRANT SELECT, UPDATE, DELETE, INSERT ON zabbix.* TO 'zbx_web_role'; 
       
       mysql> GRANT 'zbx_srv_role' TO 'zbx_srv'@'%';
       
       mysql> GRANT 'zbx_web_role' TO 'zbx_web'@'%'; 
       
       mysql> SET DEFAULT ROLE 'zbx_srv_role' TO 'zbx_srv'@'%';
       
       mysql> SET DEFAULT ROLE 'zbx_web_role' TO 'zbx_web'@'%';

请注意,X.509协议并非用于身份验证,而是用于 user is configured to use only encrypted connections. See MySQL documentation 有关配置用户的更多详情。

运行以检查连接(无法使用套接字连接测试安全连接) 连接):

mysql -u zbx_srv -p -h 10.211.55.9 --ssl-mode=REQUIRED

检查当前状态及可用加密套件:

mysql> status
       --------------
       mysql Ver 8.0.21 for Linux on x86_64 (MySQL Community Server - GPL)
       
       连接ID: 62
       
       Current database:
       Current user: [email protected]
       SSL: Cipher in use is TLS_AES_256_GCM_SHA384
       
       mysql> SHOW SESSION STATUS LIKE 'Ssl_cipher_list'\G;
       *************************** 1. 行 ***************************
       Variable_name: Ssl_cipher_list

变量名称: Ssl_cipher_list 值: TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES256-SHA:CAMELLIA256-SHA:CAMELLIA128-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA 1 行记录已返回 (0.00 秒)

错误: 未指定query

前端

要为Zabbix前端与数据库之间的连接启用仅传输加密:

  • 勾选数据库TLS加密
  • 保持验证数据库证书未勾选状态

Server

要为服务器与数据库之间的连接启用仅传输加密,请配置 /etc/zabbix/zabbix_server.conf 文件:

... DBHost=10.211.55.9 DBName=zabbix DBUser=zbx_srv DBPassword=<strong_password> DBTLSConnect=required ...

带CA验证的加密

将所需的MySQL CA证书复制到Zabbix前端服务器,并分配适当权限以允许web服务器读取该file。

由于MySQL库版本较旧,此模式在SLES 12和RHEL 7上无法工作。

前端

要为Zabbix前端与数据库之间的连接启用证书验证加密:

  • 勾选数据库TLS加密验证数据库证书
  • 指定数据库TLS CA证书路径file

或者,可以在/etc/zabbix/web/zabbix.conf.php文件中设置:

...
       $DB['ENCRYPTION'] = true;
       $DB['KEY_FILE'] = '';
       $DB['CERT_FILE'] = '';
       $DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem';
       $DB['VERIFY_HOST'] = false;
       $DB['CIPHER_LIST'] = '';
       ...

使用命令行工具排查用户连接问题,检查指定用户是否能建立连接:

mysql -u zbx_web -p -h 10.211.55.9 --ssl-mode=REQUIRED --ssl-ca=/var/lib/mysql/ca.pem

Server

要为Zabbix server与数据库之间的连接启用证书验证加密 请配置 /etc/zabbix/zabbix_server.conf 文件:

... DBHost=10.211.55.9 DBName=zabbix DBUser=zbx_srv DBPassword=<strong_password> DBTLSConnect=verify_ca DBTLSCAFile=/etc/ssl/mysql/ca.pem ...

完全验证加密

MySQL配置

设置MySQL CE服务器配置选项 (/etc/my.cnf.d/server-tls.cnf)为:

[mysqld]
       ...
       # in this examples keys are located in the MySQL CE datadir directory
       ssl_ca=ca.pem
       ssl_cert=server-cert.pem
       ssl_key=server-key.pem
       
       require_secure_transport=ON
       
       tls_version=TLSv1.3
       ...

MySQL CE服务器和客户端(Zabbix前端)的密钥应 根据MySQL CE文档手动创建: Creating SSL and RSA certificates and keys using MySQLCreating SSL certificates and keys using openssl

MySQL服务器证书应包含 Common Name字段设置为FQDN名称,因为Zabbix前端将使用 数据库的DNS名称或IP地址与数据库通信 主机.

创建MySQL用户:

mysql> CREATE USER
         'zbx_srv'@'%' IDENTIFIED WITH mysql_native_password BY '<strong_password>',
         'zbx_web'@'%' IDENTIFIED WITH mysql_native_password BY '<strong_password>'
         REQUIRE X509
         PASSWORD HISTORY 5;

检查是否可以使用该用户登录:

mysql -u zbx_web -p -h 10.211.55.9 --ssl-mode=VERIFY_IDENTITY --ssl-ca=/var/lib/mysql/ca.pem --ssl-cert=/var/lib/mysql/client-cert.pem --ssl-key=/var/lib/mysql/client-key.pem

前端

要为Zabbix前端与数据库之间的连接启用完全验证加密:

  • 勾选数据库TLS加密验证数据库证书
  • 指定数据库TLS密钥file的路径
  • 指定数据库TLS CAfile的路径
  • 指定数据库TLS证书file的路径

注意数据库主机验证选项被勾选且显示为灰色 - 对于MySQL此步骤不可跳过.

如果数据库TLS加密套件列表字段留空,将启用前端(客户端)和服务器共同允许的通用加密套件. 或者,可以根据cipher configuration requirements明确设置加密套件.

或者,可以在/etc/zabbix/web/zabbix.conf.php中设置:

... // 用于TLS连接并严格定义加密套件列表. $DB['ENCRYPTION'] = true; $DB['KEY_FILE'] = '/etc/ssl/mysql/client-key.pem'; $DB['CERT_FILE'] = '/etc/ssl/mysql/client-cert.pem'; $DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem'; $DB['VERIFY_HOST'] = true; $DB['CIPHER_LIST'] = 'TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-GC'; ... // 或 ... // 用于TLS连接且不定义加密套件列表 - 由MySQL服务器选择 $DB['ENCRYPTION'] = true; $DB['KEY_FILE'] = '/etc/ssl/mysql/client-key.pem'; $DB['CERT_FILE'] = '/etc/ssl/mysql/client-cert.pem'; $DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem'; $DB['VERIFY_HOST'] = true; $DB['CIPHER_LIST'] = ''; ...

Server

要为Zabbix server与数据库之间的连接启用完全验证加密,请配置 /etc/zabbix/zabbix_server.conf:

... DBHost=10.211.55.9 DBName=zabbix DBUser=zbx_srv DBPassword=<strong_password> DBTLSConnect=verify_full DBTLSCAFile=/etc/ssl/mysql/ca.pem DBTLSCertFile=/etc/ssl/mysql/client-cert.pem DBTLSKeyFile=/etc/ssl/mysql/client-key.pem ...

© 2001-2025 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy