Documentation

Esta página fue traducida automáticamente. Si detectas un error, selecciónalo y presiona Ctrl+Enter para informarlo a los editores.
1 Estructura del manual
2 Qué es Zabbix
3 Características de Zabbix
4 Descripción general de Zabbix
5 Novedades en Zabbix 7.4.0
6 Novedades en Zabbix 7.4.x
2 Definiciones
1 Clúster de alta disponibilidad
2 Agente
3 Agente 2
4 Proxy
1 Configuración desde fuentes
2 Configuración desde paquetes RHEL
3 Configuración desde paquetes Debian/Ubuntu
6 Remitente
7 Obtener
8 JS
9 Servicio web
1 Obtener Zabbix
2 Requisitos
1 Compilando el agente Zabbix en Windows
2 Compilando Zabbix agent 2 en Windows
3 Compilando Zabbix agent en macOS
4 Instalación del agente Windows desde MSI
5 Instalación del agente de Mac OS desde PKG
6 Versiones inestables
5 Instalación desde contenedores
6 Instalación de la interfaz web
1 Actualizar desde las fuentes
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
3 Actualizar desde contenedores
1 Problemas de compilación
2 Problemas de actualización relacionados con el escape
9 Cambios en las plantillas
10 Notas de actualización para 7.4.0
11 Notas de actualización para 7.4.x
1 Iniciar sesión y configurar usuario
2 Nuevo equipo
3 Nueva métrica
4 Nuevo iniciador
5 Recibir notificaciones de problemas
6 Nueva plantilla
6. Zabbix Appliance
2 Configuración de un host
3 Configuración de un grupo de equipos
4 Inventario
5 Actualización masiva
Asistente de 1 Host
1 Formato de clave de métrica
2 Intervalos personalizados
1 Pruebas de preprocesamiento
2 Detalles de preprocesamiento
3 Ejemplos de preprocesamiento
1 Escapar caracteres especiales de valores de macro LLD en JSONPath
1 Objetos JavaScript adicionales
2 Objetos JavaScript de métrica de navegador
6 Preprocesamiento de CSV a JSON
1 Agente Zabbix 2
2 Agente de Windows Zabbix
1 Índices dinámicos
2 OID especiales
3 Archivos MIB
3 Capturador SNMP
4 Comprobaciones de IPMI
1 Claves de métricas de monitoreo de VMware
6 Monitoreo de archivos de registro
1 Cálculos agregados
8 Comprobaciones internas
9 Comprobaciones SSH
10 Comprobaciones de Telnet
11 Comprobaciones externas
12 Métricas de captura
13 Monitoreando JMX
14 Monitorización de ODBC
15 Métricas dependientes
16 Agente HTTP
17 Revisiones Prometheus
18 Métricas scripts
19 elementos del navegador
4 Historial y tendencias
1 Ampliación de agentes de Zabbix
6 Contadores de rendimiento de Windows
7 Actualización masiva
8 Mapeo de valores
9 Cola
10 Caché de valores
11 Ejecutar ahora
12 Restringir comprobaciones del agente
1 Configurando un iniciador
2 Expresión de iniciador
3 Dependencias del iniciador
4 Gravedad del iniciador
5 Personalización de la gravedad de los disparadores
6 Actualización masiva
7 Funciones predictivas de iniciador
1 Generación de eventos de iniciador
2 Otras fuentes de eventos
3 Cierre manual de problemas
1 Correlación de eventos basada en iniciadores
2 Correlación de eventos globales
6 Etiquetado
1 Gráficos simples
2 Gráficos personalizados
3 Gráficos ad-hoc
4 Agregación en gráficos
1 Configurando un mapa de red
2 Elementos de grupo de equipos
3 Indicadores de enlace
3 paneles de control
1 Configurando una plantilla
2 Configuración de un grupo de plantillas
3 Vinculación/desvinculación
4 Anidamiento
5 Actualización masiva
1 Funcionamiento de la plantilla de agente Zabbix
2 Funcionamiento de la plantilla de Zabbix agent 2
3 Funcionamiento de la plantilla HTTP
4 Funcionamiento de la plantilla IPMI
5 Operación de la plantilla JMX
6 Funcionamiento de la plantilla ODBC
7 Plantillas estandarizadas para dispositivos de red
8 Operación de plantilla de VMware
1 Tipos de medios automatizados de Gmail/Office365
2 SMS
3 Scripts de alerta personalizados
1 Ejemplos de script de webhook
1 Condiciones
1 Enviando mensaje
2 Comandos remotos
3 Operaciones adicionales
4 Usando macros en los mensajes
3 Operaciones de recuperación
4 Operaciones de actualización
5 Escalado
3 Recibiendo notificaciones sobre métricas no soportadas
1 Funciones de macro
2 Macros de usuario
3 Macros de usuario con contexto
4 Macros de usuario secretas
5 Macros de descubrimiento de bajo nivel
6 Macros de expresión
1 Configurar un usuario
2 Permisos
3 Grupos de usuarios
1 Configuración de CyberArk
2 Configuración de HashiCorp
14 Informes programados
1 Exportar a archivos
2 Transmisión a sistemas externos
3 Puerta de enlace SNMP
1 Árbol de servicios
2 Acuerdo de Nivel de Servicio
3 Ejemplo de configuración
1 Métricas de monitoreo web
2 Escenario de la vida real
1 Claves de métricas de monitoreo de VMware
2 Campos clave para el descubrimiento de máquinas virtuales
3 Ejemplos JSON para métricas de VMware
4 Ejemplo de configuración de monitoreo de VMware
11 Mantenimiento
12 Expresiones regulares
1 Supresión de problemas
1 Grupos de plantillas
2 Grupos de equipos
3 Plantillas
4 Equipos
5 Mapas de red
6 Tipos de medios
1 Configurar una regla de descubrimiento de red
2 Autorregistro de agente activo
1 Prototipos de métricas
2 Prototipos de disparadores
3 Prototipos de gráficos
4 Prototipos de equipos
5 Prototipos de descubrimiento
6 Notas sobre el descubrimiento de bajo nivel
1 Descubrimiento de sistemas de archivos montados
2 Descubrimiento de interfaces de red
3 Descubrimiento de CPU y núcleos de CPU
4 Descubrimiento de OID SNMP
5 Descubrimiento de OID SNMP (obsoleto)
6 Descubrimiento de objetos JMX
7 Descubrimiento de sensores IPMI
8 Descubrimiento de los servicios systemd
9 Descubrimiento de los servicios de Windows
10 Descubrimiento de instancias de contadores de rendimiento de Windows
11 Descubrimiento mediante consultas WMI
12 Descubrimiento mediante consultas SQL ODBC
13 Descubrimiento utilizando datos de Prometheus
14 Descubrimiento de dispositivos de bloque
15 Descubrimiento de interfaces de equipos en Zabbix
8 Reglas LLD personalizadas
1 Sincronización de la configuración de monitoreo
2 Balanceo de carga de proxy y alta disponibilidad
1 Usando certificados
2 Usando claves precompartidas
1 Problemas de tipo de conexión o permisos
2 Problemas con el certificado
3 Problemas de PSK
1 Menú de eventos
2 Menú de equipo
3 Menú de métricas
1 Registro de acciones
2 Reloj
3 Estado de descubrimiento
4 Gráficos favoritos
5 Mapas favoritos
6 Medidor
7 Geomapa
8 Gráfico
9 Gráfico (clásico)
10 Prototipo de gráfico
11 Panal de abeja
12 Disponibilidad del host
13 Tarjeta de host
14 Navegador de equipos
15 Tarjeta de artículo
16 Historial de elementos
17 Navegador de elementos
18 Valor del elemento
19 Mapa
20 Árbol de navegación del mapa
21 Gráfico circular
22 Equipos problemáticos
23 Problemas
24 Problemas por gravedad
25 Informe de SLA
26 Información del sistema
27 Principales equipos
28 Artículos principales
29 Principales desencadenantes
30 Descripción general del disparador
31 URL
32 Monitorización web
1 Problemas de causa y síntomas
1 Gráficos
2 Tableros de equipo
3 Escenarios web
3 Últimos datos
4 Mapas
5 Descubrimiento
1 Servicios
2 Acuerdo de Nivel de Servicio
3 informe SLA
1 Información general
2 Equipos
1 Información del sistema
2 Informes programados
3 Informe de disponibilidad
4 Los 100 iniciadores principales
5 Registro de auditoría
6 Registro de acciones
7 Notificaciones
1 Grupos de plantillas
2 Grupos de equipos
1 Métricas
2 Iniciadores
3 Gráficos
1 Prototipos de métricas
2 Prototipos de iniciador
3 Prototipos de gráficos
4 Prototipos de equipo
5 Prototipos de descubrimiento
5 Escenarios web
1 Métricas
2 Iniciadores
3 Gráficos
1 Prototipos de métricas
2 Prototipos de iniciador
3 Prototipos de gráficos
4 Prototipos de equipo
5 Prototipos de descubrimiento
5 Escenarios web
5 Mantenimiento
6 Correlación de eventos
7 Descubrimiento
1 Acciones
2 Tipos de medios
3 Scripts
1 Grupos de usuarios
2 Roles de usuario
3 Usuarios
4 Tokens API
1 HTTP
2 LDAP
3 SAML
4 MFA
1 General
2 Registro de auditoría
3 Limpieza interna
4 Proxies
5 Grupos de proxy
6 Macros
7 Cola
1 Notificaciones globales
2 Sonido en navegadores
4 Búsqueda global
5 Modo de mantenimiento frontend
6 Parámetros de la página
7 Definiciones
8 Creando tu propio tema
9 Modo de depuración
10 Cookies utilizadas por Zabbix
11 Zonas horarias
12 Restablecer contraseña
13 Selector del periodo de tiempo
1 Asegurando MySQL/MariaDB
2 Asegurar PostgreSQL/TimescaleDB
2 Criptografía
3 Servidor web
2 Mejores prácticas de configuración
Objeto de acción
action.create
action.delete
action.get
action.update
Objeto de configuración
settings.get
settings.update
Objeto Alerta
alert.get
Objeto de autenticación
authentication.get
authentication.update
Objeto de autorregistro
autoregistration.get
autoregistration.update
Objeto de comprobación de descubrimiento
dcheck.get
Objeto conector
connector.create
connector.delete
connector.get
connector.update
configuration.export
configuration.import
configuration.importcompare
Objeto de correlación
correlation.create
correlation.delete
correlation.get
correlation.update
Objeto iniciador
trigger.create
trigger.delete
trigger.get
trigger.update
Objeto de directorio de usuario
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
Objeto de métrica
item.create
item.delete
item.get
item.update
Objeto de equipo
host.create
host.eliminar
host.get
host.massadd
host.massremove
host.massupdate
host.update
Objeto de equipo descubierto
dhost.get
Objeto de escenario web
httptest.create
httptest.delete
httptest.get
httptest.update
Objeto de evento
event.acknowledge
event.get
Objeto de expresión regular
regexp.create
regexp.delete
regexp.get
regexp.update
Objeto de grupo de equipos
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
Objeto de grupo de plantilla
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
Objeto de grupo proxy
proxygroup.create
proxygroup.delete
proxygroup.get
proxygroup.update
Objeto de grupo de usuarios
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
Objeto de gráfico
graph.create
graph.delete
graph.get
graph.update
Objeto de historial
history.clear
history.get
history.push
Objeto de imagen
image.create
image.delete
image.get
image.update
apiinfo.version
Objeto de informe
report.create
report.delete
report.get
report.update
Objeto de interfaz de equipo
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
Objeto de limpieza
housekeeping.get
housekeeping.update
Objeto de macro de usuario
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
Objeto de mantenimiento
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
Objeto de mapa
map.create
map.delete
map.get
map.update
Objeto de mapa de iconos
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
Objeto de mapa de valor
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
Objeto MFA
mfa.create
mfa.delete
mfa.get
mfa.update
Objeto de gráfico de métrica
graphitem.get
Objeto de módulo
module.create
module.delete
module.get
module.update
Objeto de nodo de alta disponibilidad
hanode.get
Objeto de tablero
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
1 Registro de acciones
2 Reloj
3 Estado de descubrimiento
4 Gráficos favoritos
5 Mapas favoritos
6 Medidor radial
7 Geomapa
8 Gráfico
9 Gráfico (clásico)
10 Prototipo de gráfico
11 Panal
12 Disponibilidad del equipo
13 Tarjeta de equipo
14 Navegador de equipos
15 Tarjeta de métrica
16 Historial de métrica
17 Navegador de métricas
18 Valor de métrica
19 Mapa
20 Árbol de navegación del mapa
21 Gráfico circular
22 Equipos con problemas
23 Problemas
24 Problemas por gravedad
25 Informe SLA
26 Información del sistema
27 Equipos principales
28 Métricas principales
29 Iniciadores principales
30 Vista general de iniciadores
31 URL
32 Monitoreo web
Objeto de plantilla de tablero
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
Objeto de plantilla
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
Objeto de problema
problem.get
Objeto de prototipo de iniciador
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
Objeto prototipo de métrica
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
Objeto prototipo de equipo
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
Objeto prototipo de gráfico
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
Objeto prototipo de regla LLD
discoveryruleprototype.create
discoveryruleprototype.delete
discoveryruleprototype.get
discoveryruleprototype.update
Objeto proxy
proxy.create
proxy.delete
proxy.get
proxy.update
Objeto de registro de auditoría
auditlog.get
Objeto de regla de descubrimiento
drule.create
drule.delete
drule.get
drule.update
Objeto de regla LLD
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
Objeto de rol
role.create
role.delete
role.get
role.update
Objeto de script
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
Objeto de servicio
service.create
service.delete
service.get
service.update
Objeto de servicio descubierto
dservice.get
Objeto SLA
sla.create
sla.delete
sla.get
sla.getsli
sla.update
Objeto de tarea
task.create
task.get
Objeto de tendencia
trend.get
Objeto de tipo de medio
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
Objeto token
token.create
token.delete
token.generate
token.get
token.update
Objeto de usuario
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.provision
user.unblock
user.update
usuario.resettotp
Apéndice 1. Comentario de referencia
Apéndice 2. Cambios de 7.2 a 7.4
Apéndice 3. Cambios en 7.4
1 Módulos cargables
1 Creación de complementos cargables
3 Módulos de la interfaz
1 Creación de la base de datos
2 Reparar el juego de caracteres y collation de la base de datos Zabbix
3 Actualización de la base de datos a claves primarias
4 Preparando la tabla de registro de auditoría para particionado
1 Configuración de cifrado MySQL
2 Configuración de cifrado PostgreSQL
6 Conexión segura al frontend
7 Configuración de TimescaleDB
8 Configuración de Elasticsearch
9 Notas específicas de la distribución sobre la configuración de Nginx para Zabbix
10 Ejecutar el agente como root
11 Agente Zabbix en Microsoft Windows
12 Configuración de SAML con Microsoft Entra ID
13 Configuración de SAML con Okta
14 Configuración de SAML con OneLogin
15 Configuración de informes programados
16 Idiomas adicionales de la interfaz
1 Servidor Zabbix
2 Proxy de Zabbix
3 Agente Zabbix (UNIX)
4 Agente 2 Zabbix (UNIX)
5 Agente Zabbix (Windows)
6 Agente Zabbix 2 (Windows)
1 Complemento Ceph
2 Complemento Docker
3 Complemento Ember+
4 Complemento Memcached
5 Complemento Modbus
6 Complemento MongoDB
7 Complemento MQTT
8 Complemento MSSQL
9 Complemento MySQL
10 Complemento de GPU NVIDIA
11 Complemento de Oracle
12 Complemento de PostgreSQL
13 Complemento de Redis
14 Complemento SMART
8 Pasarela Zabbix Java
9 Servicio web Zabbix
10 Variables de entorno
11 Inclusión
1 Protocolo de intercambio de datos servidor-proxy
2 Protocolo agente/agente2 Zabbix
4 Protocolo del plugin Zabbix Agent 2
5 Protocolo de remitente Zabbix
6 Encabezado
7 Protocolo de exportación JSON delimitado por 'salto de linea'
1 Parámetros vm.memory.size
2 Comprobaciones pasivas y activas del agente
3 Nivel mínimo de permiso para métricas del agente de Windows
4 Codificación de valores devueltos
5 Soporte para archivos grandes
6 Sensor
7 Notas sobre el parámetro memtype en las métricas proc.mem
8 Notas sobre la selección de procesos en las métricas proc.mem y proc.num
9 Detalles de implementación de las comprobaciones de net.tcp.service y net.udp.service
10 Parámetros proc.get
11 Configuración de interfaz de equipo inalcanzable/no disponible
12 Monitoreo remoto de las estadísticas de Zabbix
13 Configurando Kerberos con Zabbix
14 Parámetros modbus.get
15 Creación de nombres de contadores de rendimiento personalizados para VMware
16 Valores de retorno para system.sw.packages.get
17 Valores de retorno para net.dns.get
18 Notas sobre los elementos system.cpu.util en Windows
1 Funciones Foreach
2 Funciones bit a bit
3 Funciones de fecha y hora
4 Funciones de historial
5 Funciones de tendencia
6 Funciones matemáticas
7 Funciones de operador
8 Funciones predictivas
9 Funciones de cadena
1 Macros admitidas por ubicación
2 Macros de usuario soportados por localización
7 Símbolos de unidad
8 Sintaxis de período de tiempo
9 Ejecución de comandos
10 Compatibilidad de versiones
12 Biblioteca de enlace dinámico Zabbix sender para Windows
13 Biblioteca Python para API Zabbix
14 Actualización del monitoreo de servicios
15 Otros problemas
16 Comparación entre el agente y el agente 2
17 Ejemplos de escape
1 Monitorear Linux con el agente Zabbix
2 Monitorizar Windows con el agente Zabbix
3 Monitorear Apache a través de HTTP
4 Supervisar MySQL con Zabbix agent 2
5 Monitorizar VMware con Zabbix
6 Monitorear tráfico de red con Zabbix
7 Monitorear el tráfico de red mediante comprobaciones activas
8 Supervisar sitios web con elementos de navegador
9 Supervisar certificados de sitios web con Zabbix agent 2 (pasivo)
10 Supervisar un switch o router de red con Zabbix
11 Supervisar el registro de eventos de Windows utilizando comprobaciones activas
1 Deploy Zabbix with Zabbix Cloud
2 Node configuration
3 Adding users
4 Key differences between Zabbix Cloud and on-premises
manifest.json
Acciones
Vistas
Activos
Registrar un nuevo módulo
Configuración
Presentación
Crear un módulo (tutorial)
Crear un widget (tutorial)
Ejemplos
Ejemplos
Crear un plugin (tutorial)
Interfaces de complementos
Cambios en el desarrollo de extensiones
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

1 Usando certificados

Descripción general

Zabbix puede utilizar certificados RSA en formato PEM, firmados por una autoridad de certificación (CA) pública o interna.

La verificación de certificados se realiza con un certificado de CA preconfigurado. Opcionalmente, se pueden utilizar Listas de revocación de certificados (CRL).

Cada componente de Zabbix puede tener solo un certificado configurado.

Para obtener más información sobre la configuración y el funcionamiento de una CA interna, la generación y firma de solicitudes de certificados y la revocación de certificados, consulte tutoriales como el Tutorial de PKI de OpenSSL v2.0.

Considere y pruebe cuidadosamente las extensiones de sus certificados. Para obtener más detalles, consulte Limitaciones en el uso de extensiones de certificado X.509 v3.

Parámetros de configuración de certificados

Los siguientes parámetros de configuración son compatibles con la configuración de certificados en los componentes de Zabbix.

Parámetro Obligatorio Descripción
TLSCAFile si Nombre de ruta completo de un archivo que contiene los certificados de las CA de nivel superior para la verificación de certificados de pares.
Si se utiliza una cadena de certificados con varios miembros, ordene primero los certificados con las CA de nivel inferior, seguidos de los certificados con las CA de nivel superior.
Los certificados de varias CA se pueden incluir en un solo archivo.
TLSCRLFile no Nombre de ruta completo de un archivo que contiene Listas de revocación de certificados (CRL).
TLSCertFile si Nombre de ruta completo de un archivo que contiene el certificado.
Si utiliza una cadena de certificados con varios miembros, ordene los certificados con el certificado de servidor, proxy o agente primero, seguido de los certificados de CA de nivel inferior y concluya con los certificados de CA de nivel superior.
TLSKeyFile si Nombre completo de ruta de un archivo que contiene la clave privada.
Asegúrese de que este archivo solo sea legible por el usuario de Zabbix configurando los derechos de acceso adecuados.
TLSServerCertIssuer no Emisor de certificado de servidor permitido.
TLSServerCertSubject no Asunto de certificado de servidor permitido.

Ejemplos de configuración

Después de configurar los certificados necesarios, configure los componentes de Zabbix para utilizar cifrado basado en certificados.

A continuación se detallan los pasos para configurar:

Servidor Zabbix

1. Prepare el archivo de certificado de la CA.

Para verificar los certificados de los pares, el servidor Zabbix debe tener acceso al archivo que contiene los certificados de la CA raíz autofirmados de nivel superior. Por ejemplo, si se necesitan certificados de dos CA raíz independientes, colóquelos en un archivo en /home/zabbix/zabbix_ca_file.crt:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ...
       -----BEGIN CERTIFICATE-----
       MIID2jCCAsKgAwIBAgIBATANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ....
       9wEzdN8uTrqoyU78gi12npLj08LegRKjb5hFTVmO
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ....
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ....       
       -----BEGIN CERTIFICATE-----
       MIID3DCCAsSgAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQB
       ...
       vdGNYoSfvu41GQAR5Vj5FnRJRzv5XQOZ3B6894GY1zY=
       -----END CERTIFICATE-----

2. Coloque el certificado/cadena de certificados del servidor Zabbix en un archivo, por ejemplo, en /home/zabbix/zabbix_server.crt. El primer certificado es el del servidor Zabbix, seguido por el certificado de la CA intermedia:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix server
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                       ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Digital Signature, Key Encipherment
                   X509v3 Basic Constraints: 
                       CA:FALSE
                   ...
       -----BEGIN CERTIFICATE-----
       MIIECDCCAvCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk
       ...
       h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ==
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 2 (0x2)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE, pathlen:0
               ...
       -----BEGIN CERTIFICATE-----
       MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ...
       dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw==
       -----END CERTIFICATE-----

Utilice únicamente los atributos mencionados anteriormente tanto para los certificados de cliente como de servidor para evitar afectar el proceso de verificación de certificados. Por ejemplo, OpenSSL podría no establecer una conexión cifrada si se utilizan las extensiones X509v3 Subject Alternative Name o Netscape Cert Type. Para más información, consulte Limitaciones en el uso de extensiones de certificado X.509 v3.

3. Coloque la clave privada del servidor Zabbix en un archivo, por ejemplo, en /home/zabbix/zabbix_server.key:

-----BEGIN PRIVATE KEY-----
       MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl
       ...
       IJLkhbybBYEf47MLhffWa7XvZTY=
       -----END PRIVATE KEY-----

4. Edite los parámetros de configuración TLS en el archivo de configuración del servidor Zabbix:

TLSCAFile=/home/zabbix/zabbix_ca_file.crt
       TLSCertFile=/home/zabbix/zabbix_server.crt
       TLSKeyFile=/home/zabbix/zabbix_server.key
Proxy Zabbix

1. Prepare los archivos con los certificados de la CA de nivel superior, el certificado/cadena de certificados del proxy Zabbix y la clave privada como se describe en la sección Servidor Zabbix. Luego, edite los parámetros TLSCAFile, TLSCertFile y TLSKeyFile en el archivo de configuración del proxy Zabbix en consecuencia.

2. Edite los parámetros TLS adicionales en el archivo de configuración del proxy Zabbix:

  • Para proxy activo: TLSConnect=cert
  • Para proxy pasivo: TLSAccept=cert

Para mejorar la seguridad del proxy, también puede establecer los parámetros TLSServerCertIssuer y TLSServerCertSubject. Para más información, consulte Restringir emisor y sujeto de certificado permitidos.

Los parámetros TLS en el archivo de configuración final del proxy pueden verse de la siguiente manera:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file.crt
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_proxy.crt
       TLSKeyFile=/home/zabbix/zabbix_proxy.key

3. Configure el cifrado para este proxy en la interfaz web de Zabbix:

  • Vaya a: Administración → Proxies.
  • Seleccione el proxy y haga clic en la pestaña Cifrado.

En los ejemplos a continuación, los campos Emisor y Sujeto están rellenados. Para obtener más información sobre por qué y cómo utilizar estos campos, consulte Restringir emisor y sujeto de certificado permitidos.

Para proxy activo:

Para proxy pasivo:

Agente Zabbix

1. Prepare los archivos con los certificados de CA de nivel superior, el certificado/cadena de certificados del agente Zabbix y la clave privada como se describe en la sección Servidor Zabbix. Luego, edite los parámetros TLSCAFile, TLSCertFile y TLSKeyFile en el archivo de configuración del agente Zabbix en consecuencia.

2. Edite los parámetros TLS adicionales en el archivo de configuración del agente Zabbix:

  • Para agente activo: TLSConnect=cert
  • Para agente pasivo: TLSAccept=cert

Para mejorar la seguridad del agente, puede establecer los parámetros TLSServerCertIssuer y TLSServerCertSubject. Para más información, consulte Restringir emisor y sujeto de certificado permitidos.

Los parámetros TLS en el archivo de configuración final del agente pueden verse de la siguiente manera. Tenga en cuenta que el ejemplo asume que el host es monitoreado por un proxy, por lo que se especifica como el Subject del certificado:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file.crt
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_agentd.crt
       TLSKeyFile=/home/zabbix/zabbix_agentd.key

3. Configure el cifrado en el frontend de Zabbix para el host monitoreado por este agente.

  • Vaya a: Recolección de datos → Equipos.
  • Seleccione el equipo y haga clic en la pestaña Cifrado.

En el siguiente ejemplo, los campos Emisor y Sujeto están rellenados. Para obtener más información sobre por qué y cómo usar estos campos, consulte Restringir emisor y sujeto de certificado permitidos.

Servicio web de Zabbix

1. Prepare los archivos con los certificados de la CA de nivel superior, el certificado/cadena de certificados del servicio web de Zabbix y la clave privada como se describe en la sección Servidor Zabbix. Luego, edite los parámetros TLSCAFile, TLSCertFile y TLSKeyFile en el archivo de configuración del servicio web de Zabbix en consecuencia.

2. Edite un parámetro TLS adicional en el archivo de configuración del servicio web de Zabbix: TLSAccept=cert

Los parámetros TLS en el archivo de configuración final del servicio web pueden verse de la siguiente manera:

TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file.crt
       TLSCertFile=/home/zabbix/zabbix_web_service.crt
       TLSKeyFile=/home/zabbix/zabbix_web_service.key

3. Configure el servidor Zabbix para que se conecte al servicio web de Zabbix configurado con TLS editando el parámetro WebServiceURL en el archivo de configuración del servidor Zabbix:

WebServiceURL=https://example.com:443/report

Restricción de emisores y sujetos de certificados permitidos

Cuando dos componentes de Zabbix (por ejemplo, servidor y agente) establecen una conexión TLS, validan los certificados de cada uno. Si un certificado de un par está firmado por una CA de confianza (con un certificado de nivel superior preconfigurado en TLSCAFile), es válido, no ha expirado y pasa otras comprobaciones, entonces la comunicación entre los componentes puede continuar. En este caso más simple, el emisor y el sujeto del certificado no se verifican.

Sin embargo, esto presenta un riesgo: cualquiera con un certificado válido puede hacerse pasar por otra persona (por ejemplo, un certificado de host podría usarse para hacerse pasar por un servidor). Si bien esto puede ser aceptable en entornos pequeños donde los certificados están firmados por una CA interna dedicada y el riesgo de suplantación es bajo, puede no ser suficiente en entornos más grandes o más sensibles a la seguridad.

Si su CA de nivel superior emite certificados que Zabbix no debería aceptar o si desea reducir el riesgo de suplantación de identidad, puede restringir los certificados permitidos especificando su emisor y sujeto.

Por ejemplo, en el archivo de configuración del proxy de Zabbix, podría especificar:

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Con esta configuración, un proxy activo no se comunicará con un servidor Zabbix cuyo certificado tenga un emisor o sujeto diferente. De manera similar, un proxy pasivo no aceptará solicitudes de dicho servidor.

Reglas para la coincidencia de las cadenas Issuer y Subject

Las reglas para la coincidencia de las cadenas Issuer y Subject son las siguientes:

  • Las cadenas Issuer y Subject se verifican de forma independiente. Ambas son opcionales.
  • Una cadena no especificada significa que se acepta cualquier cadena.
  • Las cadenas se comparan tal cual y deben coincidir exactamente.
  • Se admiten caracteres UTF-8. Sin embargo, no se admiten comodines (*) ni expresiones regulares.
  • Se implementan los siguientes requisitos de la RFC 4514: los caracteres que requieren escape (con una barra invertida '\', U+005C):
    • en cualquier parte de la cadena: '"' (U+0022), '+' (U+002B), ',' (U+002C), ';' (U+003B), '<' (U+003C), '>' (U+003E), '\\' (U+005C);
    • al principio de la cadena: espacio (' ', U+0020) o almohadilla ('#', U+0023);
    • al final de la cadena: espacio (' ', U+0020).
  • No se admiten caracteres nulos (U+0000). Si se encuentra un carácter nulo, la coincidencia fallará.
  • No se admiten los estándares RFC 4517 y RFC 4518.

Por ejemplo, si las cadenas de organización (O) de Issuer y Subject contienen espacios finales y la cadena de unidad organizativa (OU) de Subject contiene comillas dobles, estos caracteres deben escaparse:

TLSServerCertIssuer=CN=Signing CA,OU=Development head,O=\ Example SIA\ ,DC=example,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group \"5\",O=\ Example SIA\ ,DC=example,DC=com
Orden y formato de los campos

Zabbix sigue las recomendaciones de la RFC 4514, que especifica un orden "inverso" para estos campos, comenzando con los campos de nivel más bajo (CN), continuando con los campos de nivel medio (OU, O) y concluyendo con los campos de nivel más alto (DC).

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

En contraste, OpenSSL por defecto muestra las cadenas Issuer y Subject en orden de nivel superior a nivel inferior. En el siguiente ejemplo, los campos Issuer y Subject comienzan con el campo de nivel superior (DC) y terminan con el campo de nivel inferior (CN). El formato con espacios y separadores de campos también varía según las opciones utilizadas y, por lo tanto, no coincidirá con el formato requerido por Zabbix.

$ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject
       issuer= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Signing CA
       subject= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Zabbix proxy
       
       $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt
       Certificate:
           ...
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix proxy

Para formatear correctamente las cadenas Issuer y Subject para Zabbix, invoque OpenSSL con las siguientes opciones:

$ openssl x509 -noout -issuer -subject \
           -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname\
           -in /home/zabbix/zabbix_proxy.crt

La salida estará entonces en orden inverso, separada por comas y utilizable en los archivos de configuración y la interfaz de Zabbix:

issuer= CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       subject= CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Limitaciones en el uso de extensiones de certificado X.509 v3

Al implementar certificados X.509 v3 dentro de Zabbix, es posible que ciertas extensiones no sean totalmente compatibles o que generen un comportamiento inconsistente.

Extensión de nombre alternativo del sujeto

Zabbix no admite la extensión Nombre alternativo del sujeto, que se utiliza para especificar nombres DNS alternativos, como direcciones IP o direcciones de correo electrónico. Zabbix solo puede validar el valor en el campo Asunto del certificado (consulte Restricción de emisores y sujetos de certificados permitidos). Si los certificados incluyen el campo subjectAltName, el resultado de la validación del certificado puede variar según los kits de herramientas criptográficas específicos utilizados para compilar los componentes de Zabbix. Como resultado, Zabbix puede aceptar o rechazar certificados en función de estas combinaciones.

Extensión de uso de clave extendido

Zabbix admite la extensión Uso de clave extendido. Sin embargo, si se utiliza, generalmente se requiere que se especifiquen los atributos clientAuth (para la autenticación de cliente WWW TLS) y serverAuth (para la autenticación de servidor WWW TLS). Por ejemplo:

  • En las comprobaciones pasivas, donde el agente Zabbix opera como un servidor TLS, el atributo serverAuth debe incluirse en el certificado del agente.
  • Para las comprobaciones activas, donde el agente opera como un cliente TLS, el atributo clientAuth debe incluirse en el certificado del agente.

Si bien GnuTLS puede emitir una advertencia por violaciones del uso de claves, generalmente permite que la comunicación continúe a pesar de estas advertencias.

Extensión Name Contraints

La compatibilidad con la extensión Name Contraints varía entre los kits de herramientas criptográficas. Asegúrese de que el kit de herramientas elegido admita esta extensión. Esta extensión puede restringir que Zabbix cargue certificados de CA si esta sección está marcada como crítica, según el kit de herramientas específico en uso.

Listas de revocación de certificados (CRL)

Si un certificado se ve comprometido, la autoridad de certificación (CA) puede revocarlo incluyéndolo en una lista de revocación de certificados (CRL). Las CRL se administran a través de archivos de configuración y se pueden especificar utilizando el parámetro TLSCRLFile en los archivos de configuración del servidor, proxy y agente. Por ejemplo:

TLSCRLFile=/home/zabbix/zabbix_crl_file.crt

En este caso, zabbix_crl_file.crt puede contener CRL de varias CA y podría verse así:

-----BEGIN X509 CRL-----
       MIIB/DCB5QIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixkARkWA2Nv
       ...
       treZeUPjb7LSmZ3K2hpbZN7SoOZcAoHQ3GWd9npuctg=
       -----END X509 CRL-----
       -----BEGIN X509 CRL-----
       MIIB+TCB4gIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQBGRYDY29t
       ...
       CAEebS2CND3ShBedZ8YSil59O6JvaDP61lR5lNs=
       -----END X509 CRL-----

El archivo CRL se carga solo cuando se inicia Zabbix. Para actualizar la CRL, reinicie Zabbix.

Si los componentes de Zabbix se compilan con OpenSSL y se utilizan CRL, asegúrese de que cada CA de nivel superior e intermedio en las cadenas de certificados tenga una CRL correspondiente (incluso si está vacía) incluida en el TLSCRLFile.

© 2001-2025 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy