Documentation

You are viewing documentation for the development version, it may be incomplete.
Join our translation project and help translate Zabbix documentation into your native language.
Zabbix 8.0.x のアップグレードノート
テンプレートの変更
1 Webインターフェースのインストール
1 ログインとユーザーの設定
2 新しいホスト
3 新しいアイテム
4 新しいトリガー
5 問題通知の受信
6 新しいテンプレート
Apache Webサーバーの監視
Linuxサーバーの監視
MySQLサーバーの監視
macOSでのZabbixエージェントのビルド
MSIからのWindowsエージェントのインストール
PKGからのmacOSエージェントのインストール
WindowsでのZabbix agent 2のビルド
WindowsでのZabbixエージェントのビルド
コンテナからのインストール
ソースからのインストール
パッケージからのインストールに関する注意
Debian/Ubuntu
Red Hat Enterprise Linux
アップグレードの問題
コンテナからのアップグレード
ソースからのアップグレード
既知の問題
要件
Zabbix 8.0.x の新機能
3 Zabbixアプライアンス
1 高可用性(HA)
2 Zabbixエージェント
3 Zabbixエージェント2
4 Zabbixプロキシ
1 ソースからのセットアップ
2 RHELパッケージでのセットアップ
3 Debian/Ubuntuパッケージでのセットアップ
6 zabbix_senderコマンド
7 zabbix_getコマンド
8 zabbix_jsコマンド
9 Zabbix Webサービス
1 ホストウィザード
2 ホストの設定
3 ホストグループの設定
4 インベントリ
5 一括更新
1 アイテムキーのフォーマット
2 監視間隔のカスタマイズ
1 保存前処理のテスト
2 保存前処理の詳細
3 保存前処理の例
1 JSONPathのLLDマクロ値からの特殊文字のエスケープ
1 追加のJavaScriptオブジェクト
2 ブラウザアイテムのJavaScriptオブジェクト
6 CSVからJSONへの保存前処理
1 Zabbixエージェント2
2 Windows Zabbixエージェント
1 ダイナミックインデックス
2 特殊なOID
3 MIB ファイル
3 SNMPトラップ
4 IPMIチェック
1 VMware監視アイテムキー
6 ログファイル監視
1 集計計算
8 内部チェック
9 SSH チェック
10 Telnetチェック
11 外部チェック
12 トラッパーアイテム
13 JMX 監視
14 ODBC 監視
15 依存アイテム
16 HTTPエージェント
17 Prometheus チェック
18 スクリプト
19 ブラウザアイテム
4 ヒストリとトレンド
1 Zabbixエージェントの機能拡張
6 Windows パフォーマンスカウンタ
7 一括アップデート
8 値のマッピング
9 キュー
10 バリューキャッシュ
11 即時実行
12 エージェントチェックの制限
1 トリガーの設定
2 トリガー条件式
3 トリガーの依存関係
4 トリガーの深刻度
5 トリガーの深刻度のカスタマイズ
6 一括アップデート
7 予測トリガー関数
1 トリガーイベントの生成
2 その他のイベントソース
3 問題の手動クローズ
1 トリガーによるイベント相関
2 グローバルイベント相関
6 タグ付け
1 シンプルグラフ
2 カスタムグラフ
3 アドホックグラフ
4 グラフの集計
1 ネットワークマップの設定
2 ホストグループの構成要素
3 リンクインジケーター
3 ダッシュボード
1 テンプレートの設定
2 テンプレートグループの設定
3 リンク作成/リンク削除
4 ネスト
5 一括アップデート
1 Zabbixエージェントテンプレートの動作
2 Zabbix agent 2 テンプレートの運用
3 HTTPテンプレートの操作
4 IPMI テンプレートの操作
5 JMX テンプレートの運用
6 ODBC テンプレートの操作
7 ネットワークデバイス用の標準テンプレート
8 VMwareテンプレートの操作
1 自動化されたGmail/Office365メディアタイプ
2 SMS
3 カスタムアラートスクリプト
1 Webhookスクリプトの例
1 アクション
1 メッセージの送信
2 リモートコマンド
3 追加操作
4 メッセージでのマクロ使用
3 復旧時実行
4 更新時実行
5 エスカレーション
3 サポート対象外通知の受信
1 マクロ関数
2 ユーザーマクロ
3 コンテキストユーザーマクロ
4 Secretユーザーマクロ
5 ローレベルディスカバリマクロ
6 式マクロ
1 ユーザの設定
2 ユーザー権限
3 ユーザグループ
1 CyberArkの設定
2 HashiCorpの設定
14 スケジュールレポート
1 ファイルにエクスポート
2 外部システムへのストリーミング
3 SNMPゲートウェイ
1 サービストリー
2 SLA
3 セットアップ例
1 Web監視アイテム
2 実際のシナリオ
1 VMware監視アイテムキー
2 仮想マシンディスカバリキーフィールド
3 VMwareアイテムのJSONの例
4 VMware監視設定例
9 メンテナンス
10 正規表現
1 障害の抑制
1 テンプレートグループ
2 ホストグループ
3 テンプレート
4 ホスト
5 ネットワークマップ
6 メディアタイプ
1 ネットワークディスカバリルールの設定
2 アクティブエージェントの自動登録
1 アイテムプロトタイプ
2 トリガープロトタイプ
3 グラフのプロトタイプ
4 ホストプロトタイプ
5 ディスカバリのプロトタイプ
6 ローレベルディスカバリに関する注意点
1 ファイルシステムマウントの検出
2 ネットワークインターフェースの検出
3 CPUとCPUコアの検出
4 SNMP OIDsの検出
5 SNMP OIDsの検出 (legacy)
6 JMXオブジェクトの検出
7 IPMIセンサーの検出
8 systemdサービスの検出
9 Windowsサービスの検出
10 Windowsパフォーマンスカウンターインスタンスの検出
11 WMIクエリを使用した検出
12 ODBC SQLクエリを使用した検出
13 Prometheusデータを使用した検出
14 ブロックデバイスの検出
15 Zabbixでのホストインターフェース検出
8 カスタムLLDルール
1 監視設定の同期
2 プロキシの負荷分散と高可用性
1 証明書の利用
2 事前共有鍵の使用
1 接続タイプまたは権限の問題
2 証明書の問題
3 PSKの問題
1 イベントメニュー
2 ホストメニュー
3 アイテムメニュー
1 ダッシュボードウィジェット
1 アクションログ
2 時計
3 ディスカバリーステータス
4 お気に入りグラフ
5 お気に入りのマップ
6 ゲージ
7 Geomap
8 グラフ
9 グラフ(クラシック)
10 グラフのプロトタイプ
11 ハニカム
12 ホスト稼働状況
13 ホストカード
14 ホストナビゲーター
15 アイテムカード
16 アイテム履歴
17 アイテムナビゲーター
18 アイテム値
19 マップ
20 マップナビゲーションツリー
21 円グラフ
22 問題のあるホスト
23 問題
24 問題の深刻度別
25 散布図
26 SLAレポート
27 システム情報
28 トップホスト
29 トップアイテム
30 トップトリガー
31 トリガーの概要
32 URL
33 Web監視
1 原因と症状の障害
1 グラフ
2 ホストダッシュボード
3 Webシナリオ
3 最新データ
4 マップ
5 ディスカバリ
1 サービス
2 SLA
3 SLAレポート
1 概要
2 ホスト
1 システム情報
2 定期レポート
3 稼働レポート
4 障害発生数上位100トリガー
5 監査ログ
6 アクションログ
7 通知レポート
1 テンプレートグループ
2 ホストグループ
1 アイテム
2 トリガー
3 グラフ
1 アイテムのプロトタイプ
2 トリガーのプロトタイプ
3 グラフのプロトタイプ
4 ホストのプロトタイプ
5 ディスカバリのプロトタイプ
5 Webシナリオ
1 アイテム
2 トリガー
3 グラフ
1 アイテムのプロトタイプ
2 トリガーのプロトタイプ
3 グラフのプロトタイプ
4 ホストのプロトタイプ
5 ディスカバリのプロトタイプ
5 Webシナリオ
5 メンテナンス
6 イベント相関関係
7 ディスカバリ
1 アクション
2 メディアタイプ
3 スクリプト
1 ユーザーグループ
2 ユーザーの役割
3 ユーザー
4 APIトークン
1 HTTP
2 LDAP
3 SAML
4 MFA
1 一般設定
2 監査ログ
3 ハウスキーピング
4 プロキシ
5 プロキシグループ
6 マクロ
7 キュー
1 グローバル通知
2 ブラウザのサウンド
4 グローバル検索
5 フロントエンドメンテナンスモード
6 ページパラメーター
7 定義
8 独自テーマ作成
9 デバッグモード
10 Zabbix用Cookie
11 タイムゾーン
12 パスワードのリセット
13 時間帯とホストセレクター
1 MySQL/MariaDBのセキュリティ保護
2 PostgreSQL/TimescaleDBのセキュリティ保護
2 暗号化
3 Webサーバー
2 設定のベストプラクティス
Actionオブジェクト
action.create
action.delete
action.get
action.update
Alertオブジェクト
alert.get
apiinfo.version
Audit logオブジェクト
auditlog.get
Authenticationオブジェクト
authentication.get
authentication.update
Autoregistrationオブジェクト
autoregistration.get
autoregistration.update
configuration.export
configuration.import
configuration.importcompare
Connectorオブジェクト
connector.create
connector.delete
connector.get
connector.update
Correlationオブジェクト
correlation.create
correlation.delete
correlation.get
correlation.update
Dashboardオブジェクト
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
1 Action log
2 Clock
3 Discovery status
4 Favorite graphs
5 Favorite maps
6 Gauge
7 Geomap
8 Graph
9 Graph (classic)
10 Graph prototype
11 Honeycomb
12 Host availability
13 Host card
14 Host navigator
15 アイテムカード
16 アイテムの履歴
17 アイテムナビゲーター
18 アイテム値
19 マップ
20 マップナビゲーションツリー
21 パイチャート
22 問題のあるホスト
23 問題
24 問題の深刻度別
25 散布図
26 SLAレポート
27 システム情報
28 トップホスト
29 トップアイテム
30のトップトリガー
31 トリガーの概要
32 URL
33 Web監視
Discovered hostオブジェクト
dhost.get
Discovered serviceオブジェクト
dservice.get
Discovery checkオブジェクト
dcheck.get
Discovery ruleオブジェクト
drule.create
drule.delete
drule.get
drule.update
Eventオブジェクト
event.acknowledge
event.get
Graphオブジェクト
graph.create
graph.delete
graph.get
graph.update
Graph itemオブジェクト
graphitem.get
Graph prototypeオブジェクト
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
High availability nodeオブジェクト
hanode.get
Historyオブジェクト
history.clear
history.get
history.push
Hostオブジェクト
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
Host groupオブジェクト
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
Host interfaceオブジェクト
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
Host prototypeオブジェクト
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
Housekeepingオブジェクト
housekeeping.get
housekeeping.update
Icon mapオブジェクト
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
Imageオブジェクト
image.create
image.delete
image.get
image.update
Itemオブジェクト
item.create
item.delete
item.get
item.update
Item prototypeオブジェクト
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
LLD ruleオブジェクト
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
LLDルールプロトタイプオブジェクト
discoveryruleprototype.create
discoveryruleprototype.delete
discoveryruleprototype.get
discoveryruleprototype.update
Maintenanceオブジェクト
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
Mapオブジェクト
map.create
map.delete
map.get
map.update
Media typeオブジェクト
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
MFAオブジェクト
mfa.create
mfa.delete
mfa.get
mfa.update
Moduleオブジェクト
module.create
module.delete
module.get
module.update
Problemオブジェクト
problem.get
Proxyオブジェクト
proxy.create
proxy.delete
proxy.get
proxy.update
Proxy groupオブジェクト
proxygroup.create
proxygroup.delete
proxygroup.get
proxygroup.update
Regular expressionオブジェクト
regexp.create
regexp.delete
regexp.get
regexp.update
Reportオブジェクト
report.create
report.delete
report.get
report.update
Roleオブジェクト
role.create
role.delete
role.get
role.update
Scriptオブジェクト
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
Serviceオブジェクト
service.create
service.delete
service.get
service.update
Settingsオブジェクト
settings.get
settings.update
SLAオブジェクト
sla.create
sla.delete
sla.get
sla.getsli
sla.update
タスクオブジェクト
task.create
task.get
Templateオブジェクト
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
Template dashboardオブジェクト
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
Template groupオブジェクト
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
Tokenオブジェクト
token.create
token.delete
token.generate
token.get
token.update
Trendオブジェクト
trend.get
Triggerオブジェクト
trigger.create
trigger.delete
trigger.get
trigger.update
Trigger prototypeオブジェクト
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
Userオブジェクト
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.provision
user.resettotp
user.unblock
user.update
User directoryオブジェクト
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
User groupオブジェクト
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
Value mapオブジェクト
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
Web scenarioオブジェクト
httptest.create
httptest.delete
httptest.get
httptest.update
User macroオブジェクト
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
付録1. 参考文献の解説
付録2. 7.4から8.0への変更点
付録3. 8.0の変更点
1 ローダブルモジュール
2 プラグイン
3 フロントエンドモジュール
1 データベースの作成
2 Zabbixデータベースのキャラクターセットと照合の修正
3 プライマリキーへのデータベースのアップグレード
4 監査ログテーブルのパーティション化の準備
1 MySQLの暗号化設定
2 PostgreSQLの暗号化設定
6 フロントエンドへのセキュアな接続
7 TimescaleDBのセットアップ
8 Elasticsearchのセットアップ
9 Zabbix用Nginxのセットアップに関するディストリビューション固有の注意事項
10 rootとしてエージェントを実行する
11 Microsoft Windows上のZabbixエージェント
12 Microsoft Entra ID での SAML 設定
13 OktaによるSAMLのセットアップ
14 OneLoginでのSAML設定
15 定期レポートの設定
16 追加のフロントエンド言語
1 Zabbix サーバー
2 Zabbix プロキシ
3 Zabbix エージェント (UNIX)
4 Zabbix エージェント 2 (UNIX)
5 Zabbix エージェント (Windows)
6 Zabbix エージェント 2 (Windows)
1 Ceph プラグイン
2 Docker プラグイン
3 Ember+プラグイン
4 Memcachedプラグイン
5 Modbusプラグイン
6 MongoDBプラグイン
7 MQTTプラグイン
8 MSSQLプラグイン
9 MySQLプラグイン
10 NVIDIA GPUプラグイン
11 Oracleプラグイン
12 PostgreSQLプラグイン
13 Redisプラグイン
14 SMARTプラグイン
8 Zabbix Java ゲートウェイ
9 Zabbix Webサービス
10 環境変数
11 インクルード
1 サーバープロキシデータ交換プロトコル
2 Zabbixエージェント/エージェント2のプロトコル
4 Zabbixエージェント2プラグインプロトコル
5 Zabbix senderプロトコル
6 ヘッダー
7 改行区切りJSONエクスポートプロトコル
1 vm.memory.sizeパラメーター
2 パッシブおよびアクティブエージェントチェック
3 Windowsエージェントアイテムの最小アクセス許可レベル
4 戻り値のエンコード
5 ラージファイルサポート
6 センサー
7 proc.memアイテムのmemtypeパラメーターに関する注意
8 proc.memおよびproc.numアイテムでのプロセスの選択に関する注意
9 net.tcp.serviceおよびnet.udp.serviceチェックの実装の詳細
10 proc.getパラメーター
11 到達不能/使用不可のホストインターフェース設定
12 Zabbix統計のリモート監視
13 Zabbixを使用したKerberosの設定
14 modbus.getパラメーター
15 VMwareのカスタムパフォーマンスカウンター名作成
16 system.sw.packages.getの戻り値
17 net.dns.getの戻り値
18 Windowsのsystem.cpu.utilアイテムに関する注意事項
1 Foreach 関数
2 ビット演算関数
3 日付と時刻の関数
4 ヒストリ関数
5 トレンド関数
6 数学関数
7 演算子関数
8 予測関数
9 文字列関数
1 ロケーションでサポートされているマクロ
2 ロケーションでサポートされているユーザーマクロ
7 単位記号
8 日時フォーマット
9 コマンドの実行
10 バージョン間の互換性
12 Windows用Zabbix senderダイナミックリンクライブラリ
13 Zabbix APIのPythonライブラリ
14 サービス監視のアップグレード
15 その他の問題
16 エージェントとエージェント2の比較
17 エスケープの例
1 ZabbixエージェントでLinuxを監視する
2 ZabbixエージェントでWindowsを監視する
3 HTTP経由でApacheを監視する
4 Zabbixエージェント2でMySQLを監視する
5 ZabbixでVMwareを監視する
6 Zabbixでネットワークトラフィックを監視する
7 アクティブチェックを使用してネットワークトラフィックを監視する
8 ブラウザアイテムでウェブサイトの監視
9 Zabbixエージェント2(パッシブ)でWebサイトの証明書を監視する
10 Zabbixでネットワークスイッチやルーターを監視する
11 アクティブチェックを使用してWindowsイベントログを監視する
Zabbixとは
1 Zabbix CloudでZabbixをデプロイする
2 ノードの設定
3 ユーザーの追加
4 Zabbix Cloudとオンプレミスの主な違い
manifest.json
アクション
ビュー
アセット
新しいモジュールの登録
設定
プレゼンテーション
モジュールの作成 (チュートリアル)
ウィジェットの作成 (チュートリアル)
プラグインの作成(チュートリアル)
プラグインインターフェース
拡張機能開発の変更点
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

1 証明書の利用

概要

Zabbixは、公開または社内の認証局(CA)によって署名されたPEM形式のRSA証明書を使用できます。

証明書の検証は、事前に設定されたCA証明書に対して実行されます。 オプションで、証明書失効リスト(CRL)を使用できます。

各Zabbixコンポーネントには、1つの証明書のみを設定できます。

内部CAのセットアップと運用、証明書要求の生成と署名、証明書の失効については、OpenSSL PKIチュートリアル v2.0などのチュートリアルを参照してください。

証明書の拡張については慎重に検討し、テストしてください。 詳細については、X.509 v3証明書拡張の使用に関する制限を参照してください。

証明書の設定パラメータ

Zabbixコンポーネントで証明書を設定するために、以下の設定パラメータがサポートされています。

パラメータ 必須 説明
TLSCAFile はい ピア証明書の検証のための最上位CA証明書を含むファイルのフルパス名。
複数のメンバーを持つ証明書チェーンを使用する場合は、下位CA証明書を先に、上位CA証明書を後に並べてください。
複数のCAの証明書を1つのファイルに含めることができます。
TLSCRLFile いいえ 証明書失効リスト(CRL)を含むファイルのフルパス名。
TLSCertFile はい 証明書を含むファイルのフルパス名。
複数のメンバーを持つ証明書チェーンを使用する場合は、サーバー、プロキシ、またはエージェント証明書を先に、下位CA証明書を次に、上位CA証明書を最後に並べてください。
TLSKeyFile はい 秘密鍵を含むファイルのフルパス名。
このファイルがZabbixユーザーのみ読み取り可能であることを、適切なアクセス権を設定して確認してください。
TLSServerCertIssuer いいえ 許可されるサーバー証明書の発行者。
TLSServerCertSubject いいえ 許可されるサーバー証明書のサブジェクト。

設定例

必要な証明書を設定した後、Zabbixコンポーネントを証明書ベースの暗号化を使用するように設定します。

以下は、設定の詳細な手順です:

Zabbixサーバー

1. CA証明書ファイルを準備します。

ピア証明書を検証するために、Zabbixサーバーは最上位の自己署名ルートCA証明書を含むファイルにアクセスできる必要があります。 たとえば、2つの独立したルートCAからの証明書が必要な場合、それらを/home/zabbix/zabbix_ca_file.crtのファイルに配置します:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ...
       -----BEGIN CERTIFICATE-----
       MIID2jCCAsKgAwIBAgIBATANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ....
       9wEzdN8uTrqoyU78gi12npLj08LegRKjb5hFTVmO
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ....
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ....       
       -----BEGIN CERTIFICATE-----
       MIID3DCCAsSgAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQB
       ...
       vdGNYoSfvu41GQAR5Vj5FnRJRzv5XQOZ3B6894GY1zY=
       -----END CERTIFICATE-----

2. Zabbixサーバー証明書/証明書チェーンをファイルに配置します。たとえば、/home/zabbix/zabbix_server.crtに配置します。 最初の証明書がZabbixサーバー証明書で、その後に中間CA証明書が続きます:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix server
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                       ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Digital Signature, Key Encipherment
                   X509v3 Basic Constraints: 
                       CA:FALSE
                   ...
       -----BEGIN CERTIFICATE-----
       MIIECDCCAvCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk
       ...
       h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ==
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 2 (0x2)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE, pathlen:0
               ...
       -----BEGIN CERTIFICATE-----
       MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ...
       dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw==
       -----END CERTIFICATE-----

証明書の検証プロセスに影響を与えないように、クライアント証明書とサーバー証明書の両方で上記の属性のみを使用してください。 たとえば、X509v3 Subject Alternative NameNetscape Cert Type拡張が使用されている場合、OpenSSLは暗号化接続の確立に失敗する可能性があります。 詳細については、X.509 v3証明書拡張の使用制限を参照してください。

3. Zabbixサーバーの秘密鍵をファイルに配置します。たとえば、/home/zabbix/zabbix_server.keyに配置します:

-----BEGIN PRIVATE KEY-----
       MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl
       ...
       IJLkhbybBYEf47MLhffWa7XvZTY=
       -----END PRIVATE KEY-----

4. Zabbixサーバーの設定ファイルでTLS設定パラメータを編集します:

TLSCAFile=/home/zabbix/zabbix_ca_file.crt
       TLSCertFile=/home/zabbix/zabbix_server.crt
       TLSKeyFile=/home/zabbix/zabbix_server.key
Zabbixプロキシ

1. Zabbixサーバーのセクションで説明されているように、最上位のCA証明書、Zabbixプロキシ証明書/証明書チェーン、および秘密鍵のファイルを準備します。 次に、Zabbixプロキシの設定ファイルTLSCAFileTLSCertFileTLSKeyFileパラメータを適切に編集します。

2. Zabbixプロキシの設定ファイルで追加のTLSパラメータを編集します:

  • アクティブプロキシの場合: TLSConnect=cert
  • パッシブプロキシの場合: TLSAccept=cert

プロキシのセキュリティを向上させるために、TLSServerCertIssuerおよびTLSServerCertSubjectパラメータも設定できます。 詳細については、許可された証明書発行者およびサブジェクトの制限を参照してください。

最終的なプロキシ設定ファイルのTLSパラメータは次のようになります:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file.crt
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_proxy.crt
       TLSKeyFile=/home/zabbix/zabbix_proxy.key

3. Zabbixフロントエンドでこのプロキシの暗号化を設定します:

  • 管理 → プロキシに移動します。
  • プロキシを選択し、暗号化タブをクリックします。

以下の例では、発行者およびサブジェクトフィールドが入力されています。 これらのフィールドを使用する理由と方法については、許可された証明書発行者およびサブジェクトの制限を参照してください。

アクティブプロキシの場合:

パッシブプロキシの場合:

Zabbixエージェント

1. Zabbixサーバーのセクションで説明されているように、トップレベルのCA証明書、Zabbixエージェントの証明書/証明書チェーン、および秘密鍵のファイルを準備します。 次に、Zabbixエージェントの設定ファイルTLSCAFileTLSCertFileTLSKeyFileパラメータを適切に編集します。

2. Zabbixエージェントの設定ファイルで追加のTLSパラメータを編集します:

  • アクティブエージェントの場合: TLSConnect=cert
  • パッシブエージェントの場合: TLSAccept=cert

エージェントのセキュリティを向上させるために、TLSServerCertIssuerおよびTLSServerCertSubjectパラメータを設定できます。 詳細については、許可された証明書発行者およびサブジェクトの制限を参照してください。

最終的なエージェント設定ファイルのTLSパラメータは次のようになります。 この例では、ホストがプロキシによって監視されていることを前提としているため、証明書のSubjectとして指定されています:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file.crt
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_agentd.crt
       TLSKeyFile=/home/zabbix/zabbix_agentd.key

3. このエージェントによって監視されているホストの暗号化をZabbixフロントエンドで設定します。

  • データ収集 → ホスト に移動します。
  • ホストを選択し、暗号化タブをクリックします。

以下の例では、発行者およびサブジェクトフィールドが入力されています。 これらのフィールドを使用する理由と方法の詳細については、許可された証明書発行者およびサブジェクトの制限を参照してください。

Zabbix Webサービス

1. Zabbixサーバーのセクションで説明されているように、トップレベルのCA証明書、Zabbix Webサービスの証明書/証明書チェーン、および秘密鍵のファイルを準備します。 次に、Zabbix Webサービスの設定ファイルTLSCAFileTLSCertFileTLSKeyFileパラメータを適切に編集します。

2. Zabbix Webサービスの設定ファイルで追加のTLSパラメータを編集します: TLSAccept=cert

最終的なWebサービスの設定ファイルのTLSパラメータは次のようになります:

TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file.crt
       TLSCertFile=/home/zabbix/zabbix_web_service.crt
       TLSKeyFile=/home/zabbix/zabbix_web_service.key

3. Zabbixサーバーの設定ファイルWebServiceURLパラメータを編集して、TLSで設定されたZabbix Webサービスに接続するようにZabbixサーバーを設定します:

WebServiceURL=https://example.com:443/report

許可された証明書発行者およびサブジェクトの制限

2つのZabbixコンポーネント(たとえば、サーバーとエージェント)がTLS接続を確立すると、お互いの証明書を検証します。 ピア証明書が信頼されたCA(TLSCAFileに事前設定されたトップレベル証明書)によって署名されており、有効であり、有効期限が切れておらず、他のチェックにも合格した場合、コンポーネント間の通信は続行できます。 この最も単純なケースでは、証明書の発行者およびサブジェクトは検証されません。

ただし、これにはリスクがあります。つまり、有効な証明書を持つ誰でも他の誰かになりすますことができます(たとえば、ホスト証明書を使用してサーバーになりすますことができます)。 証明書が専用の社内CAによって署名され、なりすましのリスクが低い小規模な環境ではこれで十分かもしれませんが、より大規模またはセキュリティに敏感な環境では不十分な場合があります。

トップレベルCAがZabbixで受け入れるべきでない証明書を発行する場合、またはなりすましのリスクを減らしたい場合は、発行者およびサブジェクトを指定して許可される証明書を制限できます。

たとえば、Zabbixプロキシの設定ファイルで次のように指定できます。

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

これらの設定により、アクティブプロキシは、証明書の発行者またはサブジェクトが異なるZabbixサーバーとは通信しません。 同様に、パッシブプロキシはそのようなサーバーからのリクエストを受け付けません。

IssuerおよびSubject文字列のマッチングルール

IssuerおよびSubject文字列のマッチングルールは以下の通りです。

  • IssuerおよびSubject文字列は独立してチェックされます。 どちらも省略可能です。
  • 文字列が指定されていない場合は、任意の文字列が受け入れられます。
  • 文字列はそのまま比較され、完全一致する必要があります。
  • UTF-8文字がサポートされています。 ただし、ワイルドカード(*)や正規表現はサポートされていません。
  • 以下のRFC 4514要件が実装されています - エスケープが必要な文字(バックスラッシュ'\'、U+005C):
    • 文字列内の任意の場所: '"' (U+0022), '+' (U+002B), ',' (U+002C), ';' (U+003B), '<' (U+003C), '>' (U+003E), '\\' (U+005C);
    • 文字列の先頭: スペース(' ', U+0020)または番号記号('#', U+0023);
    • 文字列の末尾: スペース(' ', U+0020)。
  • ヌル文字(U+0000)はサポートされていません。 ヌル文字が検出された場合、マッチングは失敗します。
  • RFC 4517およびRFC 4518標準はサポートされていません。

例えば、IssuerおよびSubjectの組織(O)文字列に末尾スペースが含まれ、Subjectの組織単位(OU)文字列に二重引用符が含まれている場合、これらの文字はエスケープする必要があります。

TLSServerCertIssuer=CN=Signing CA,OU=Development head,O=\ Example SIA\ ,DC=example,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group \"5\",O=\ Example SIA\ ,DC=example,DC=com
フィールドの順序とフォーマット

ZabbixはRFC 4514の推奨に従い、これらのフィールドに「逆順」を指定します。つまり、最も下位のフィールド(CN)から始まり、中間レベルのフィールド(OUO)を経て、最上位のフィールド(DC)で終わります。

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

一方、OpenSSLはデフォルトでIssuerおよびSubject文字列を上位から下位の順序で表示します。 次の例では、IssuerおよびSubjectフィールドは最上位(DC)から始まり、最下位(CN)で終わります。 スペースやフィールド区切り文字のフォーマットも使用するオプションによって異なり、Zabbixで必要なフォーマットとは一致しません。

$ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject
       issuer= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Signing CA
       subject= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Zabbix proxy
       
       $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt
       Certificate:
           ...
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix proxy

IssuerおよびSubject文字列をZabbix用に正しくフォーマットするには、OpenSSLを次のオプションで実行します。

$ openssl x509 -noout -issuer -subject \
           -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname\
           -in /home/zabbix/zabbix_proxy.crt

この出力は逆順でカンマ区切りとなり、Zabbixの設定ファイルやフロントエンドで利用できます。

issuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       subject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

X.509 v3証明書拡張の使用に関する制限

ZabbixでX.509 v3証明書を実装する場合、特定の拡張が完全にサポートされていなかったり、一貫性のない動作を引き起こす可能性があります。

Subject Alternative Name拡張

Zabbixは、IPアドレスやメールアドレスなどの代替DNS名を指定するために使用されるSubject Alternative Name拡張をサポートしていません。 Zabbixは証明書のSubjectフィールドの値のみを検証できます(許可された証明書発行者およびサブジェクトの制限を参照)。 証明書にsubjectAltNameフィールドが含まれている場合、証明書検証の結果は、Zabbixコンポーネントのコンパイルに使用された暗号化ツールキットによって異なる場合があります。 その結果、Zabbixはこれらの組み合わせに基づいて証明書を受け入れたり拒否したりする場合があります。

Extended Key Usage拡張

ZabbixはExtended Key Usage拡張をサポートしています。 ただし、使用する場合は、一般的にclientAuth(TLS WWWクライアント認証用)とserverAuth(TLS WWWサーバー認証用)の両方の属性を指定する必要があります。 例:

  • パッシブチェックでは、ZabbixエージェントがTLSサーバーとして動作するため、serverAuth属性をエージェントの証明書に含める必要があります。
  • アクティブチェックでは、エージェントがTLSクライアントとして動作するため、clientAuth属性をエージェントの証明書に含める必要があります。

GnuTLSはキー使用違反に対して警告を発する場合がありますが、通常はこれらの警告にもかかわらず通信を許可します。

Name Constraints拡張

Name Constraints拡張のサポートは暗号化ツールキットによって異なります。 選択したツールキットがこの拡張をサポートしていることを確認してください。 この拡張は、使用している特定のツールキットによっては、このセクションがクリティカルとしてマークされている場合に、ZabbixがCA証明書をロードできなくなる可能性があります。

証明書失効リスト (CRL)

証明書が危険にさらされた場合、認証局 (CA) は証明書失効リスト (CRL) に証明書を含めることで証明書を失効させることができます。 CRLは設定ファイルで管理され、サーバー、プロキシ、エージェントの設定ファイルで TLSCRLFile パラメータを使用して指定できます。 例:

TLSCRLFile=/home/zabbix/zabbix_crl_file.crt

この場合、zabbix_crl_file.crt には複数のCAからのCRLを含めることができ、次のようになります:

-----BEGIN X509 CRL-----
       MIIB/DCB5QIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixkARkWA2Nv
       ...
       treZeUPjb7LSmZ3K2hpbZN7SoOZcAoHQ3GWd9npuctg=
       -----END X509 CRL-----
       -----BEGIN X509 CRL-----
       MIIB+TCB4gIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQBGRYDY29t
       ...
       CAEebS2CND3ShBedZ8YSil59O6JvaDP61lR5lNs=
       -----END X509 CRL-----

CRLファイルはZabbixの起動時のみ読み込まれます。 CRLを更新するには、Zabbixを再起動してください。

ZabbixコンポーネントがOpenSSLでコンパイルされておりCRLが使用されている場合、証明書チェーン内の各トップレベルおよび中間CAに対応するCRL (空でも可) が TLSCRLFile に含まれていることを確認してください。

© 2001-2025 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy