Documentation

1 Структура упутства
2 Шта је Zabbix
3 Zabbix карактеристике
4 Zabbix преглед
5 What's new in Zabbix 7.4.0
6 What's new in Zabbix 7.4.x
2 Дефиниције
1 Висока доступност
2 Agent
3 Agent 2
4 Прокси
1 Подешавање из извора
2 Подешавање из RHEL пакета
3 Setup from Debian/Ubuntu packages
6 Пошиљалац
7 Get
8 JS
9 Веб сервис
1 Преузимање Zabbix
2 Захтеви
1 Изградња Zabbix агента на Windows-у
2 Изградња Zabbix агента 2 на Windows-у
3 Компилација Zabbix агента на macOS-у
1 Red Hat Enterprise Linux и извод
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise Сервер
4 Инсталација Windows агента из MSI-ја
5 Инсталација Mac OS агента из PKG-а
6 Нестабилна издања
5 Инсталација из контејнера
6 Инсталација веб интерфејса
1 Надоградња из извора
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
3 Надоградња из контејнера
1 Проблеми са компилацијом
2 Проблеми са надоградњом у вези са избегавањем специјалних карактера
9 Промене шаблона
10 Upgrade notes for 7.4.0
11 Upgrade notes for 7.4.x
1 Пријава и конфигурисање корисника
2 Нови домаћин
3 Нова ставка
4 Нови окидач
5 Примање обавештења о проблему
6 Нови шаблон
6 Zabbix appliance
1 Host Wizard
1 Конфигурисање домаћина
2 Configuring a host group
2 Inventory
4 Масовно ажурирање
1 Item key format
2 Custom intervals
1 Тестирање предобраде
2 Детаљи претходне обраде
3 Примери предобраде
1 Избегавање специјалних знакова из LLD макро вредности у JSONPath
1 Додатни JavaScript објекти
2 Објекти JavaScript ставке Browser-а
6 Предобрада CSV-а у JSON
1 Zabbix агент 2
2 Zabbix агент за Windows
1 Динамички индекси
2 Специјални OID-ови
3 MIB датотеке
3 SNMP замке
4 IPMI checks
1 VMware кључеви ставки за надгледање
6 Log file monitoring
1 Aggregate calculations
8 Internal checks
9 SSH провере
10 Telnet провере
11 External checks
12 Трапер ставке
13 JMX monitoring
14 ODBC надгледање
15 Dependent items
16 HTTP agent
17 Prometheus checks
18 Ставке скрипте
19 Browser items
4 History and trends
1 Проширивање Zabbix агената
6 Windows бројачи перформанси
7 Масовно ажурирање
8 Мапирање вредности
9 Ред
10 Кеш вредности
11 Execute now
12 Ограничавање провера агената
1 Конфигурисање окидача
2 Окидач израз
3 Зависности покретача
4 Озбиљност окидача
5 Прилагођавање озбиљности окидача
6 Масовно ажурирање
7 Предиктивне функције окидача
1 Окидач за генерисање догађаја
2 Други извори догађаја
3 Ручно затварање проблема
1 Корелација догађаја заснована на окидачу
2 Глобална корелација догађаја
6 Tagging
1 Једноставни графикони
2 Прилагођени графикони
3 Ad-hoc графикони
4 Агрегација у графиконима
1 Конфигурисање мрежне мапе
2 Елементи групе домаћина
3 Индикатори везе
3 Контролне табле
1 Конфигурисање шаблона
2 Конфигурисање групе шаблона
3 Повезивање/раскидање везе
4 Угнеждавање
5 Масовно ажурирање
1 Рад шаблона Zabbix агента
2 Zabbix agent 2 template operation
3 HTTP template operation
4 Рад са IPMI шаблоном
5 JMX template operation
6 Рад са ODBC шаблоном
7 Стандардизовани шаблони за мрежне уређаје
8 Рад са VMware шаблоном
1 Automated Gmail/Office365 media types
2 SMS
3 Прилагођене скрипте упозорења
1 Примери Вебхук скрипти
1 Услови
1 Слање поруке
2 Даљинске команде
3 Додатне операције
4 Коришћење макроа у порукама
3 Операције опоравка
4 Операције ажурирања
5 Ескалације
3 Примање обавештења о неподржаним ставкама
1 Макро функције
2 Кориснички макрои
3 Кориснички макрои са контекстом
4 Тајни кориснички макрои
5 Макрои за откривање ниског нивоа
6 Макрои израза
1 Конфигурисање корисника
2 Дозволе
3 Групе корисника
1 CyberArk конфигурација
2 HashiCorp конфигурација
14 Планирани извештаји
1 Извези у датотеке
2 Стримовање на екстерне системе
3 СНМП мрежни пролаз
1 Стабло услуга
2 SLA
3 Пример подешавања
1 Ставке за праћење веба
2 Сценарио из стварног живота
1 VMware кључеви ставки за надгледање
2 Virtual machine discovery key fields
3 JSON примера за VMware ставке
4 Пример подешавања VMware надгледања
11 Одржавање
12 Регуларни изрази
1 Сузбијање проблема
1 Групе шаблона
2 Групе домаћина
3 Шаблони
4 Домаћини
5 Мрежне мапе
6 Типови медија
1 Конфигурисање правила за откривање мреже
2 Аутоматска регистрација активног агента
1 Прототипови ставки
2 Прототипови окидача
3 Прототипови графова
4 Прототипови домаћина
5 Discovery prototypes
5 Напомене о откривању ниског нивоа
1 Откривање монтираних система датотека
2 Откривање мрежних интерфејса
3 Откривање CPUs и CPU језгара
4 Откривање SNMP OIDs
5 Откривање SNMP OID-а (застарело)
6 Откривање JMX објеката
7 Откривање IPMI сензора
8 Откривање системских услуга
9 Откривање Windows услуга
10 Откривање инстанци бројача перформанси Windows-а
11 Откривање помоћу WMI упита
12 Откривање помоћу ODBC SQL упита
13 Откриће помоћу података Prometheus
14 Откривање блок уређаја
15 Откривање домаћина интерфејса у Zabbix-у
7 Прилагођена LLD правила
1 Синхронизација конфигурације надгледања
2 Балансирање оптерећења проксија и висока доступност
1 Коришћење сертификата
2 Коришћење унапред дељених кључева
1 Проблеми са типом везе или дозволама
2 Проблеми са сертификатом
3 PSK проблеми
1 Мени догађаја
2 Мени домаћина
3 Мени ставки
1 Дневник акција
2 Сат
3 Статус откривања
4 Омиљени графици
5 Омиљене мапе
6 Индикатор
7 Геомапа
9 Граф
9 Графикон (класичан)
10 Прототип графа
11 Honeycomb
12 Доступност домаћина
13 Картица домаћина
14 Навигатор домаћина
15 Item card
15 Историја ставке
16 Навигатор ставки
17 Вредност ставке
18 Мапа
19 Мапа навигационог стабла
20 Pie графикон
21 Проблем домаћина
22 Проблеми
23 Проблеми по озбиљности
24 SLA извештај
25 Информације о систему
26 Најважнији домаћини
27 Топ ставке
28 Најважнији окидачи
29 Преглед окидача
30 URL
31 Веб надгледање
1 Узрок и проблеми са симптомима
1 Graphs
2 Контролне табле домаћина
3 Web scenarios
3 Најновији подаци
4 Мапе
5 Откривање
1 Услуге
2 SLA
3 SLA извештај
1 Преглед
2 Hosts
1 Информације о систему
2 Планирани извештаји
3 Извештај о доступности
4 Најбољих 100 окидача
5 Дневник ревизије
6 Action log
7 Обавештења
1 Групе шаблона
2 Host groups
1 Ставке
2 Triggers
3 Графови
1 Прототипови предмета
2 Trigger prototypes
3 Прототипови графова
4 Прототипови домаћина
5 Discovery prototypes
5 Веб сценарија
1 Ставке
2 Окидачи
3 Графови
1 Прототипови ставке
2 Прототипови окидача
3 Прототипови графова
4 Прототипови домаћина
5 Discovery prototypes
5 Веб сценарија
5 Одржавање
6 Event correlation
7 Откривање
1 Акције
2 Типови медија
3 Скрипте
1 Групе корисника
2 Улоге корисника
3 Корисници
4 API токени
1 HTTP
2 LDAP
3 SAML
4 MFA
1 Опште
2 Дневник ревизије
3 Одржавање домаћинства
4 Проксији
5 Прокси групе
6 Макрои
7 Ред
1 Глобална обавештења
2 Звук у претраживачима
4 Глобална претрага
5 Режим одржавања корисничког интерфејса
6 Параметри странице
7 Дефиниције
8 Креирање сопствене теме
9 Режим за отклањање грешака
10 Колачићи које користи Zabbix
11 Временске зоне
12 Ресетовање лозинке
13 Селектор временског периода
1 Securing MySQL/MariaDB
2 Securing PostgreSQL/TimescaleDB
2 Cryptography
3 Web server
2 Configuration best practices
LLD rule prototype object
discoveryruleprototype.create
discoveryruleprototype.delete
discoveryruleprototype.get
discoveryruleprototype.update
LLD објекат правила
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
MFA објекат
mfa.create
mfa.delete
mfa.get
mfa.update
SLA објекат
sla.create
sla.delete
sla.get
sla.getsli
sla.update
Акциони објекат
action.create
action.delete
action.get
action.update
Обjекат упозорења
alert.get
Објекат аутентификације
authentication.get
authentication.update
Ауторегистрациони објекат
autoregistration.get
autoregistration.update
Објекат веб сценарија
httptest.create
httptest.delete
httptest.get
httptest.update
Графички објекат
graph.create
graph.delete
graph.get
graph.update
Графички објекат
graphitem.get
Објекат групе домаћина
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
Објекат корисничке групе
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
Објекат групе шаблона
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
Објекат дневника ревизије
auditlog.get
Објекат догађаја
event.acknowledge
event.get
Објекат домаћина
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
Објекат задатка
task.create
task.get
Пријавите објекат
report.create
report.delete
report.get
report.update
Објекат интерфејса домаћина
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
apiinfo.version
Историја објект
history.clear
history.get
history.push
Објекат конектора
connector.create
connector.delete
connector.get
connector.update
Објекат контролне табле
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
1 Дневник акција
2 Сат
3 Статус откривања
4 Омиљени графици
5 Омиљене мапе
6 Индикатор
7 Геомапа
8 Граф
9 Графикон (класичан)
10 Прототип графа
11 Honeycomb
12 Доступност домаћина
13 Картица домаћина
14 Host navigator
15 Item card
15 Историја предмета
16 Навигатор ставки
17 Вредност ставке
18 Мапа
19 Мапа навигационог стабла
20 Pie chart
21 Проблем домаћина
22 Проблеми
23 Проблеми по озбиљности
24 SLA извештај
25 Информације о систему
26 Top hosts
27 Најважнији окидачи
27 Топ ставке
28 Преглед окидача
29 URL
30 Веб надгледање
configuration.export
configuration.import
configuration.importcompare
Корелациони објекат
correlation.create
correlation.delete
correlation.get
correlation.update
Кориснички објекат
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.provision
user.resettotp
user.unblock
user.update
Објекат корисничког директоријума
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
Објекат макроа корисника
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
Објекат мапе
map.create
map.delete
map.get
map.update
Објекат мапе вредности
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
Икона мапа објекта
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
Објекат модула
module.create
module.delete
module.get
module.update
Објекат одржавања
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
Објекат домаћина
housekeeping.get
housekeeping.update
Окидач објекат
trigger.create
trigger.delete
trigger.get
trigger.update
Откривени сервисни објекат
dservice.get
Discovered host object
dhost.get
Објекат подешавања
settings.get
settings.update
Објекат правила откривања
drule.create
drule.delete
drule.get
drule.update
Проблемски објекат
problem.get
Обjекат за проверу откривања
dcheck.get
Прокси објекат
proxy.create
proxy.delete
proxy.get
proxy.update
Објекат групе прокси
proxygroup.create
proxygroup.delete
proxygroup.get
proxygroup.update
Графички прототип објекта
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
Host prototype object
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
Покрени објекат прототипа
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
Објект прототипа ставке
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
Објекат регуларног израза
regexp.create
regexp.delete
regexp.get
regexp.update
Објекат скрипте
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
Објекат слике
image.create
image.delete
image.get
image.update
Објекат ставке
item.create
item.delete
item.get
item.update
Објекат типа медија
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
Објекат токена
token.create
token.delete
token.generate
token.get
token.update
Објекат тренда
trend.get
Објекат улоге
role.create
role.delete
role.get
role.update
Објекат сервиса
service.create
service.delete
service.get
service.update
Чворни објекат високе доступности
hanode.get
Објекат шаблона
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
Објекат контролне табле шаблона
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
Appendix 2. Changes from 7.2 to 7.4
Appendix 3. Changes in 7.4
Додатак 1. Референтни коментар
1 Креирање базе података
2 Поправка скупа знакова и колације базе података Zabbix
3 Надоградња базе података на примарне кључеве
4 Припрема auditlog табеле за партиционисање
1 Конфигурација MySQL шифровања
2 Конфигурација PostgreSQL енкрипције
6 Secure connection to the frontend
6 TimescaleDB подешавање
7 Elasticsearch подешавање
8 Напомене специфичне за дистрибуцију о подешавању Nginx за Zabbix
9 Покретање агента као root
10 Zabbix агент на Microsoft Windows-у
11 SAML конфигурисање са Microsoft Entra ID-ијем
12 Подешавање SAML-ом са Okta-ом
13 SAML подешавање са OneLogin-ом
14 Подешавање заказаних извештаја
16 Додатни језици за кориснички интерфејс
1 Zabbix server
2 Zabbix proxy
3 Zabbix agent (UNIX)
4 Zabbix агент 2 (UNIX)
5 Zabbix agent (Windows)
6 Zabbix agent 2 (Windows)
1 Ceph додатак
2 Docker plugin
3 Ember+ plugin
4 Memcached plugin
5 Modbus додатак
6 MongoDB додатак
7 MQTT додатак
8 MSSQL додатак
9 MySQL додатак
10 NVIDIA GPU додатак
10 Oracle plugin
12 PostgreSQL додатак
13 Redis додатак
13 SMART додатак
8 Zabbix Java gateway
9 Zabbix web service
10 Променљиве окружења
10 Укључивање
1 Server-proxy data exchange protocol
2 Zabbix agent/agent2 protocol
4 Zabbix agent 2 plugin protocol
5 Zabbix sender protocol
6 Header
7 Newline-delimited JSON export protocol
1 параметри vm.memory.size
2 Провере пасивног и активног агента
3 Минимални ниво дозволе за ставке Windows агента
4 Кодирање враћених вредности
5 Подршка за велике датотеке
6 Сензор
7 Напомене о параметру memtype у ставкама proc.mem
8 Напомене о одабиру процеса у proc.mem и proc.num ставкама
9 Детаљи имплементације провера net.tcp.service и net.udp.service
10 proc.get parameters
11 Подешавања за недоступан/непостојећи интерфејс домаћина
12 Даљинско праћење Zabbix статистике
13 Конфигурисање Kerberos-а са Zabbix-ом
14 modbus.get параметри
15 Креирање прилагођених имена бројача перформанси за VMware
16 Повратне вредности за system.sw.packages.get
17 Повратне вредности за net.dns.get
18 Напомене о ставкама system.cpu.util на Windows-у
1 Foreach функције
2 Битовске функције
3 Функције датума и времена
4 Функције историје
5 Функције тренда
6 Математичке функције
7 Функције оператора
8 Функције предвиђања
9 Функције низова
1 Подржани макрои
2 Кориснички макрои подржани од стране локације
8 Unit symbols
9 Time period syntax
9 Извршење команде
10 Компатибилност верзија
13 Zabbix sender dynamic link library for Windows
14 Python library for Zabbix API
15 Service monitoring upgrade
16 Other issues
16 Поређење агента и агента 2
17 Примери избегавања
1 Модули који се могу учитати
1 Израда додатака који се могу учитати
3 Кориснички интерфјес модули
1 Надглење Linux-а помоћу Zabbix агента
2 Надгледајте Windows помоћу Zabbix агента
3 Надгледајте Apache преко HTTP-а
4 Надгледајте MySQL са Zabbix агентом 2
5 Надгледајте VMware помоћу Zabbix-а
6 Пратите мрежни саобраћај помоћу Zabbix-а
7 Надгледање мрежног саобраћаја користећи активне провере
8 Надгледајте веб локације са ставкама претраживача
9 Надгледање сертификата веб локације помоћу Zabbix агента 2 (пасивно)
10 Надгледајте мрежни прекидач или рутер помоћу Zabbix-а
11 Пратите дневник догађаја у систему Windows помоћу активних провера
manifest.json
Акције
Погледи
Assets
Региструјте нови модул
Конфигурација
Презентација
Креирајте модул (водич)
Направите виџет (водич)
Примери
Примери
Интерфејси додатака
Направите додатак (водач)
Промене у развоју екстензија
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_get
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

1 Коришћење сертификата

Преглед

Zabbix може да користи RSA сертификате у PEM формату, потписане од стране јавног или интерног ауторитета за сертификате (CA).

Верификација сертификата се врши у односу на унапред конфигурисани CA сертификат. Опционо, могу се користити Листе опозива сертификата (CRL).

Свака Zabbix компонента може имати конфигурисан само један сертификат.

За више информација о подешавању и раду интерног CA, генерисању и потписивању захтева за сертификате и опозивању сертификата, погледајте туторијале као што је OpenSSL PKI Tutorial v2.0.

Пажљиво размотрите и тестирајте проширења својих сертификата. За више детаља, погледајте Ограничења коришћења X.509 v3 проширења сертификата.

Параметри конфигурације сертификата

Следећи параметри конфигурације су подржани за подешавање сертификата на Zabbix компонентама.

Parameter Mandatory Description
TLSCAFile yes Пуна путања датотеке која садржи сертификате CA највишег нивоа за верификацију сертификата вршњака.
Ако користите ланац сертификата са више чланова, прво поређајте сертификате са сертификатима CA нижег нивоа, а затим сертификате CA вишег нивоа.
Сертификати из више CA могу бити укључени у једну датотеку.
TLSCRLFile no Пуна путања датотеке која садржи Листе опозваних сертификата (CRL).
TLSCertFile yes Пуна путања датотеке која садржи сертификат.
Ако користите ланац сертификата са више чланова, поређајте сертификате тако да прво буду сертификати сервера, проксија или агента, затим сертификати CA нижег нивоа, и на крају сертификати CA вишег нивоа.
TLSKeyFile yes Пуна путања датотеке која садржи приватни кључ.
Уверите се да ову датотеку може да чита само Zabbix корисник подешавањем одговарајућих права приступа.
TLSServerCertIssuer no Дозвољени издавалац сертификата сервера.
TLSServerCertSubject no Дозвољени субјект сертификата сервера.

Примери конфигурације

Након подешавања потребних сертификата, конфигуришите Zabbix компоненте да користе шифровање засновано на сертификатима.

Испод су детаљни кораци за конфигурисање:

Configuring certificate on Zabbix server

1. In order to verify peer certificates, Zabbix server must have access to file with their top-level self-signed root CA certificates. For example, if we expect certificates from two independent root CAs, we can put their certificates into file /home/zabbix/zabbix_ca_file like this:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ...
       -----BEGIN CERTIFICATE-----
       MIID2jCCAsKgAwIBAgIBATANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ....
       9wEzdN8uTrqoyU78gi12npLj08LegRKjb5hFTVmO
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ....
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ....       
       -----BEGIN CERTIFICATE-----
       MIID3DCCAsSgAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQB
       ...
       vdGNYoSfvu41GQAR5Vj5FnRJRzv5XQOZ3B6894GY1zY=
       -----END CERTIFICATE-----

2. Put Zabbix server certificate chain into file, for example, /home/zabbix/zabbix_server.crt:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix server
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                       ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Digital Signature, Key Encipherment
                   X509v3 Basic Constraints: 
                       CA:FALSE
                   ...
       -----BEGIN CERTIFICATE-----
       MIIECDCCAvCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk
       ...
       h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ==
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 2 (0x2)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE, pathlen:0
               ...
       -----BEGIN CERTIFICATE-----
       MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ...
       dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw==
       -----END CERTIFICATE-----

Here the first is Zabbix server certificate, followed by intermediate CA certificate.

Use of any attributes except of the ones mentioned above is discouraged for both client and server certificates, because it may affect certificate verification process. For example, OpenSSL might fail to establish encrypted connection if X509v3 Extended Key Usage or Netscape Cert Type are set. See also: Limitations on using X.509 v3 certificate extensions.

3. Put Zabbix server private key into file, for example, /home/zabbix/zabbix_server.key:

-----BEGIN PRIVATE KEY-----
       MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl
       ...
       IJLkhbybBYEf47MLhffWa7XvZTY=
       -----END PRIVATE KEY-----

4. Edit TLS parameters in Zabbix server configuration file like this:

TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_server.crt
       TLSKeyFile=/home/zabbix/zabbix_server.key
Zabbix прокси

  1. Припремите датотеке са CA сертификатима највишег нивоа, Zabbix прокси сертификатом/ланцем сертификата и приватним кључем као што је описано у одељку Zabbix сервер. Затим, уредите параметре TLSCAFile, TLSCertFile и TLSKeyFile у Zabbix прокси конфигурационој датотеци у складу са тим.

  2. Уредите додатне TLS параметре у Zabbix прокси конфигурационој датотеци:

  • За активни прокси: TLSConnect=cert
  • За пасивни прокси: TLSAccept=cert

Да бисте побољшали безбедност проксија, можете подесити и параметре TLSServerCertIssuer и TLSServerCertSubject. За више информација, погледајте Ограничавање дозвољеног издаваоца сертификата и субјекта.

TLS параметри у коначној конфигурационој датотеци проксија могу изгледати на следећи начин:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix сервер,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_proxy.crt
       TLSKeyFile=/home/zabbix/zabbix_proxy.key

3. Конфигуришите шифровање за овај прокси у Zabbix кориснички интерфејс:

  • Идите на: Администрација → Проксији.
  • Изаберите прокси и кликните на картицу Шифровање.

У доњим примерима, поља Издавалац и Наслов су попуњена. За више информација о томе зашто и како користити ова поља, погледајте Ограничавање дозвољеног издаваоца сертификата и наслова.

За активни прокси:

За пасивни прокси:

Zabbix агент

  1. Припремите датотеке са CA сертификатима највишег нивоа, сертификатом/ланцем сертификата Zabbix агента и приватним кључем као што је описано у одељку Zabbix сервер. Затим, уредите параметре TLSCAFile, TLSCertFile и TLSKeyFile у конфигурационој датотеци Zabbix агента у складу са тим.

  2. Уредите додатне TLS параметре у конфигурационој датотеци Zabbix агента:

  • За активног агента: TLSConnect=cert
  • За пасивног агента: TLSAccept=cert

Да бисте побољшали безбедност агента, можете подесити параметре TLSServerCertIssuer и TLSServerCertSubject. За више информација погледајте Ограничавање дозвољеног издаваоца сертификата и субјекта.

TLS параметри у коначној конфигурационој датотеци агента могу изгледати на следећи начин. Имајте на уму да пример претпоставља да домаћин прати прокси, па је наведен као наслов сертификата:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_agentd.crt
       TLSKeyFile=/home/zabbix/zabbix_agentd.key
  1. Конфигуришите шифровање у Zabbix кориснички интерфејс за домаћина који прати овај агент.
  • Идите на: Прикупљање података → Домаћини.
  • Изаберите домаћина и кликните на картицу Шифровање.

У доњем примеру, поља Издавалац и Наслов су попуњена. За више информација о томе зашто и како користити ова поља, погледајте Ограничавање дозвољеног издаваоца сертификата и наслова.

Zabbix веб сервис

  1. Припремите датотеке са CA сертификатима највишег нивоа, сертификатом/ланцем сертификата Zabbix веб сервиса и приватним кључем као што је описано у одељку Zabbix сервер. Затим, уредите параметре TLSCAFile, TLSCertFile и TLSKeyFile у конфигурационој датотеци Zabbix веб сервиса у складу са тим.

  2. Измените додатни TLS параметар у конфигурационој датотеци Zabbix веб сервиса: TLSAccept=cert

TLS параметри у коначној конфигурационој датотеци веб сервиса могу изгледати овако:

TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_web_service.crt
       TLSKeyFile=/home/zabbix/zabbix_web_service.key
  1. Конфигуришите Zabbix сервер да се повеже са TLS-конфигурисаним Zabbix веб сервисом уређивањем параметра WebServiceURL у конфигурационој датотеци Zabbix сервера:
WebServiceURL=https://example.com

Ограничавање дозвољеног издаваоца сертификата и субјекта

Када две Zabbix компоненте (на пример, сервер и агент) успоставе TLS везу, оне међусобно валидирају сертификате. Ако је peer сертификат потписан од стране поузданог CA (са унапред конфигурисаним сертификатом највишег нивоа у TLSCAFile), важећи је, није истекао и прође друге провере, онда комуникација између компоненти може да се настави. У овом најједноставнијем случају, издавалац сертификата и субјект нису верификовани.

Међутим, ово представља ризик: свако ко има важећи сертификат може да се представља као било ко други (на пример, сертификат хоста може се користити за представљање сервера). Иако ово може бити прихватљиво у малим окружењима где сертификате потписује наменски интерни CA и ризик од представљања је низак, можда неће бити довољно у већим или окружењима осетљивијим на безбедност.

Ако ваш CA највишег нивоа издаје сертификате које Zabbix не би требало да прихвати или ако желите да смањите ризик од представљања, можете ограничити дозвољене сертификате тако што ћете навести њиховог издаваоца и субјекта.

На пример, у конфигурационој датотеци Zabbix проксија, можете навести:

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Са овим подешавањима, активни прокси неће комуницирати са Zabbix сервером чији сертификат има другог издаваоца или тему. Слично томе, пасивни прокси неће прихватати захтеве са таквог сервера.

Правила за упаривање стрингова Issuer и Subject

Правила за упаривање стрингова Issuer и Subject су следећа:

  • Стрингови Issuer и Subject се проверавају независно. Оба су опциона.
  • Неодређени стринг значи да се прихвата било који стринг.
  • Стрингови се упоређују какви јесу и морају се тачно подударати.
  • Подржани су UTF-8 знакови. Међутим, џокери (*) или регуларни изрази нису подржани.
  • Следећи захтеви RFC 4514 су имплементирани - знакови који захтевају излаз (са обрнутом косом цртом '\', U+005C):
  • било где у стрингу: '"' (U+0022), '+' (U+002B), ',' (U+002C), ';' (U+003B), '<' (U+003C), '>' (U+003E), '\\' (U+005C);
  • на почетку стринга: размак (' ', U+0020) или знак броја ('#', U+0023);
  • на крају стринга: размак (' ', U+0020).
  • Нулти знакови (U+0000) нису подржани. Ако се наиђе на празан знак, подударање неће успети.
  • Стандарди RFC 4517 и RFC 4518 нису подржани.

На пример, ако стрингови организације Issuer и Subject (O) садрже размаке на крају, а стринг организационе јединице Subject (OU) садржи двоструке наводнике, ови знакови морају бити избегнути:

TLSServerCertIssuer=CN=Signing CA,OU=Development head,O=\ Example SIA\ ,DC=example,DC=com
       TLSServerCertSubject=CN=Zabbix сервер,OU=Development group \"5\",O=\ Example SIA\ ,DC=example,DC=com
Редослед и форматирање поља

Zabbix прати препоруке RFC 4514, који одређује „обрнути“ редослед за ова поља, почевши од поља најнижег нивоа (CN), преко поља средњег нивоа (OU, O), и завршавајући са пољима највишег нивоа (DC).

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Насупрот томе, OpenSSL подразумевано приказује стрингове Issuer и Subject редоследом од највишег до најнижег нивоа. У следећем примеру, поља „Издавалац“ и „Наслов“ почињу пољем највишег нивоа („DC“) и завршавају се пољем нижег нивоа („CN“). Форматирање размацима и сепараторима поља такође варира у зависности од коришћених опција и стога се неће подударати са форматом који захтева Zabbix.

$ опенссл к509 -нооут -ин /хоме/заббик/заббик_проки.црт -издавач -субјецт
       издавач= /ДЦ=цом/ДЦ=заббик/О=Заббик СИА/ОУ=Развојна група/ЦН=Потписујући ЦА
       субјецт= /ДЦ=цом/ДЦ=заббик/О=Заббик СИА/ОУ=Развојна група/ЦН=Заббик проки

       $ опенссл к509 -нооут -тект -ин /хоме/заббик/заббик_проки.црт
       сертификат:
           ...
               Издавач: ДЦ=цом, ДЦ=заббик, О=Заббик СИА, ОУ=Развојна група, ЦН=потписни ЦА
               ...
               Предмет: ДЦ=цом, ДЦ=заббик, О=Заббик СИА, ОУ=Развојна група, ЦН=Заббик проки

Да бисте правилно форматирали низове Иссуер и Субјецт за Заббик, Позовите OpenSSL са следећим опцијама:

$ openssl x509 -noout -issuer -subject \
       -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname\
       -in /home/zabbix/zabbix_proxy.crt

Излаз ће тада бити у обрнутом редоследу, одвојен зарезима и употребљив у Zabbix конфигурационим датотекама и фронтенду:

issuer= CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       subject= CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Ограничења коришћења X.509 v3 екстензија сертификата

Приликом имплементације X.509 v3 сертификата унутар Zabbix-а, одређене екстензије можда неће бити у потпуности подржане или могу довести до недоследног понашања.

Екстензија за алтернативно име субјекта

Zabbix не подржава екстензију Алтернативно име субјекта, која се користи за одређивање алтернативних DNS имена као што су IP адресе или имејл адресе. Zabbix може само да валидира вредност у пољу Наслов сертификата (погледајте Ограничавање дозвољеног издаваоца сертификата и субјекта). Ако сертификати садрже поље subjectAltName, исход валидације сертификата може да варира у зависности од специфичних крипто алата који се користе за компајлирање Zabbix компоненти. Као резултат тога, Zabbix може или да прихвати или да одбије сертификате на основу ових комбинација.

Екстензија за проширену употребу кључа

Zabbix подржава екстензију Проширена употреба кључа. Међутим, ако се користи, генерално је потребно да буду наведени и атрибути clientAuth (за аутентификацију TLS WWW клијента) и serverAuth (за аутентификацију TLS WWW сервера). На пример:

  • Код пасивних провера, где Zabbix агент ради као TLS сервер, атрибут serverAuth мора бити укључен у сертификат агента.

  • Код активних провера, где агент ради као TLS клијент, атрибут clientAuth мора бити укључен у сертификат агента.

Иако GnuTLS може издати упозорење за кршења употребе кључа, обично дозвољава да се комуникација настави упркос овим упозорењима.

Проширење „Ограничења имена“

Подршка за проширење Ограничења имена варира међу крипто алатима. Уверите се да изабрани алат подржава ово проширење. Ово проширење може ограничити Zabbix у учитавању CA сертификата ако је овај одељак означен као критичан, у зависности од специфичног алата који се користи.

Certificate Revocation Lists (CRL)

If a certificate is compromised CA can revoke it by including in CRL. CRLs can be configured in server, proxy and agent configuration file using parameter TLSCRLFile. For example:

TLSCRLFile=/home/zabbix/zabbix_crl_file

where zabbix_crl_file may contain CRLs from several CAs and look like:

-----BEGIN X509 CRL-----
       MIIB/DCB5QIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixkARkWA2Nv
       ...
       treZeUPjb7LSmZ3K2hpbZN7SoOZcAoHQ3GWd9npuctg=
       -----END X509 CRL-----
       -----BEGIN X509 CRL-----
       MIIB+TCB4gIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQBGRYDY29t
       ...
       CAEebS2CND3ShBedZ8YSil59O6JvaDP61lR5lNs=
       -----END X509 CRL-----

CRL file is loaded only on Zabbix start. CRL update requires restart.

If Zabbix component is compiled with OpenSSL and CRLs are used then each top and intermediate level CA in certificate chains must have a corresponding CRL (it can be empty) in TLSCRLFile.

© 2001-2025 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy