Documentation

Sidebar

1 マニュアルの構成
2 Zabbixとは
3 Zabbixの機能
4 Zabbixの概要
5 Zabbix 6.0.0 の新機能
6 Zabbix 6.0.1 の新機能
7 Zabbix 6.0.2の新機能
8 Zabbix 6.0.3の新機能
9 Zabbix 6.0.4の新機能
10 Zabbix 6.0.5の新機能
11 Zabbix 6.0.6の新機能
2. 定義
1 高可用性(HA)
2 Zabbixエージェント
3 Zabbixエージェント2
4 Zabbixプロキシ
1 Setup from sources
2 Setup from RHEL/CentOS packages
3 Setup from Debian/Ubuntu packages
6 zabbix_senderコマンド
7 zabbix_getコマンド
8 zabbix_jsコマンド
9 Zabbix Webサービス
1 Zabbixの入手
Zabbixの安全なセットアップのためのベストプラクティス
Building Zabbix agent on macOS
Windows版Zabbix agent 2の構築
Windows版Zabbix agentの構築
1 Red Hat Enterprise Linux/CentOS
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise Server
4 MSIファイルによるWindows用agentのインストール
6 Mac OS agent installation from PKG
5 Installation from containers
Debian/Ubuntu のフロントエンドのインストール
1 Red Hat Enterprise Linux/CentOS
2 Debian/Ubuntu
ソースからのアップグレード
8 既知の問題点
9 テンプレート変更点
10 6.0.0へのアップグレードノート
11 6.0.1へのアップグレードノート
12 6.0.2へのアップグレードノート
13 6.0.3へのアップグレードノート
14 6.0.4へのアップグレードノート
15 6.0.5へのアップグレードノート
16 6.0.6へのアップグレードノート
1 ログインとユーザー設定
2 新規ホスト
3 新規アイテム
4 新規トリガー
5 障害発生の通知
6 新規テンプレート
6 Zabbixアプライアンス
1 host の設定
2 インベントリ
3 一括更新
1 item キーのフォーマット
2 カスタムインターバル
1 使用例
2 プリプロセッシングの詳細
JSONPath における LLD マクロ値からの特殊文字のエスケープ
Additional JavaScript objects
5 CSV to JSON preprocessing
agent 2 に固有の item キー
Windows固有の item キー
1 ダイナミックインデックス
2 特殊なOID
3 MIB ファイル
3 SNMP trap
4 IPMIチェック
VMware 監視 item キー
6 ログファイル監視
集計の計算
8 内部チェック
9 SSH チェック
10 Telnet チェック
11 外部からのチェック
12 Trapper item
13 JMX 監視
1 MySQL の推奨 UnixODBC 設定
2 PostgreSQLの推奨UnixODBC設定
3 Oracle の推奨 UnixODBC 設定
4 MSSQL の推奨 UnixODBC 設定
15 従属item
16 HTTP agent
17 Prometheus チェック
18 スクリプト item
4 History と trends
Zabbix agent の機能拡張
6 ローダブルモジュール
7 Windows パフォーマンスカウンタ
8 一括アップデート
9 Value mapping
10 Queue
11 Value cache
12 Execute now
13 Restricting agent checks
14 Plugins
1 Trigger の 設定
2 Trigger 式
3 Trigger dependencies
4 Trigger severity
5 Customizing trigger severities
6 Mass update
7 Predictive trigger functions
1 Trigger event generation
2 Other event sources
3 Manual closing of problems
1 Trigger-based event correlation
2 Global event correlation
6 Tagging
1 Simple graphs
2 Custom graphs
3 Ad-hoc graphs
4 Aggregation in graphs
1 Configuring a network map
2 Host group elements
3 Link indicators
3 Dashboards
4 Host dashboards
1 Configuring a template
2 Linking/unlinking
3 Nesting
4 Mass update
Standardized templates for network devices
HTTP template operation
IPMI template operation
JMX template operation
ODBC template operation
Zabbix agent 2 template operation
Zabbix agent template operation
1 E-mail
2 SMS
3 Custom alertscripts
Webhook script examples
1 Conditions
1 Sending message
2 Remote commands
3 Additional operations
4 Using macros in messages
3 Recovery operations
4 Update operations
5 Escalations
3 Receiving notification on unsupported items
1 Macro functions
2 User macros
3 User macros with context
4 Low-level discovery macros
1 Configuring a user
2 Permissions
3 User groups
13 Storage of secrets
14 Scheduled reports
1 サービスツリー
2 サービスアクション
3 SLA
4 セットアップ例
1 Webモニタリングアイテム
2 シナリオの実例
1 仮想マシンディスカバリキーフィールド
11. メンテナンス
12. 正規表現
13. 問題の認識
1 ホストグループ
2 テンプレート
3 ホスト
4 ネットワークマップ
5 Media types
1 Configuring a network discovery rule
2 Active agent autoregistration
1 Item prototypes
2 Trigger prototypes
3 Graph prototypes
4 Notes on low-level discovery
1 Discovery of mounted filesystems
2 Discovery of network interfaces
3 Discovery of CPUs and CPU cores
4 Discovery of SNMP OIDs
5 Discovery of JMX objects
6 Discovery of IPMI sensors
7 Discovery of systemd services
8 Discovery of Windows services
9 Discovery of Windows performance counter instances
10 Discovery using WMI queries
11 Discovery using ODBC SQL queries
12 Discovery using Prometheus data
13 Discovery of block devices
14 Discovery of host interfaces in Zabbix
1 プロキシ
1 Using certificates
2 Using pre-shared keys
1 Connection type or permission problems
2 Certificate problems
3 PSK problems
1 メニュー
1 Action log
2 Clock
3 Data overview
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Geomap
8 Graph
9 Graph (classic)
10 Graph prototype
11 Host availability
12 Item value
13 Map
14 Map navigation tree
15 Plain text
16 Problem hosts
17 Problems
18 Problems by severity
19 SLA report
19 System information
20 Top hosts
20 Trigger overview
21 URL
22 Web monitoring
2 Problems
1 Graphs
2 Web scenarios
4 Latest data
5 Maps
6 Discovery
7 Services
1 Overview
2 Hosts
1 Services
3 SLA
4 SLA report
Overview
1 System information
2 Scheduled reports
3 Availability report
4 Triggers top 100
5 Audit
6 Action log
7 Notifications
1 Host groups
1 Items
2 Triggers
3 Graphs
1 Item prototypes
2 Trigger prototypes
3 Graph prototypes
4 Host prototypes
5 Web scenarios
1 Items
2 Triggers
3 Graphs
1 Item prototypes
2 Trigger prototypes
3 Graph prototypes
4 Host prototypes
5 Web scenarios
4 Maintenance
5 Actions
6 Event correlation
7 Discovery
1 General
2 Proxies
3 Authentication
4 User groups
5 User roles
6 Users
7 Media types
8 Scripts
9 Queue
1 Global notifications
2 Sound in browsers
4 Global search
5 Frontend maintenance mode
6 Page parameters
7 Definitions
8 Creating your own theme
9 Debug mode
10 Cookies used by Zabbix
11 Time zones
12 Rebranding
> Action object
action.create
action.delete
action.get
action.update
> Alert object
alert.get
apiinfo.version
> Audit log object
auditlog.get
> Authentication object
authentication.get
authentication.update
> Autoregistration object
autoregistration.get
autoregistration.update
configuration.export
configuration.import
configuration.importcompare
> Correlation object
correlation.create
correlation.delete
correlation.get
correlation.update
> Dashboard object
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Discovered host object
dhost.get
> Discovered service object
dservice.get
> Discovery check object
dcheck.get
> Discovery rule object
drule.create
drule.delete
drule.get
drule.update
> Event object
event.acknowledge
event.get
> Graph object
graph.create
graph.delete
graph.get
graph.update
> Graph item object
graphitem.get
> Graph prototype object
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> High availability node object
hanode.get
> History object
history.clear
history.get
> Host object
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Host group object
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> Host interface object
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Host prototype object
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Housekeeping object
housekeeping.get
housekeeping.update
> Icon map object
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Image object
image.create
image.delete
image.get
image.update
> Item object
item.create
item.delete
item.get
item.update
> Item prototype object
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> LLD rule object
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Maintenance object
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Map object
map.create
map.delete
map.get
map.update
> Media type object
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Problem object
problem.get
> Proxy object
proxy.create
proxy.delete
proxy.get
proxy.update
> Regular expression object
regexp.create
regexp.delete
regexp.get
regexp.update
> Report object
report.create
report.delete
report.get
report.update
> Role object
role.create
role.delete
role.get
role.update
> Script object
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
script.update
> Service object
service.create
service.delete
service.get
service.getsla
service.update
Settings
settings.get
settings.update
> SLA object
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> Task object
task.create
task.get
> Template object
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Template dashboard object
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Token object
token.create
token.delete
token.generate
token.get
token.update
> Trend object
trend.get
> Trigger object
trigger.adddependencies
trigger.create
trigger.delete
trigger.deletedependencies
trigger.get
trigger.update
> Trigger prototype object
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> User object
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.unblock
user.update
> User group object
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> User macro object
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Value map object
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Web scenario object
httptest.create
httptest.delete
httptest.get
httptest.update
Appendix 1. Reference commentary
Appendix 2. Changes from 5.4 to 6.0
20. モジュール
1 FAQ / トラブルシューティング
1 データベースの作成
2 Zabbixデータベースのキャラクターセットと照合の修正
3 Database upgrade to primary keys
1 MySQLの暗号化設定
2 PostgreSQLの暗号化設定
5 TimescaleDBのセットアップ
6 Elasticsearch のセットアップ
7 イベント、アイテム値、トレンドのリアルタイムエクスポート
8 Zabbix用Nginxのセットアップに関するディストリビューション固有の注意事項
9 ルートとして実行中のエージェント
10 MicrosoftWindows上のZabbixエージェント
11 Oktaを使用したSAMLセットアップ
12 オラクルデータベースセットアップ
13 レポートスケジュールの設定
14 フロントエンドへの言語追加
1 Zabbix server
2 Zabbix proxy
3 Zabbix agent (UNIX)
4 Zabbix agent 2 (UNIX)
5 Zabbix agent (Windows)
6 Zabbix agent 2 (Windows)
1 Ceph plugin
2 Docker plugin
3 Memcached plugin
4 Modbus plugin
5 MongoDB plugin
6 MQTT plugin
7 MySQL plugin
8 Oracle plugin
9 PostgreSQL plugin
10 Redis plugin
11 Smart plugin
8 Zabbix Java gateway
9 Zabbix web service
10 Inclusion
1 Server-proxy data exchange protocol
2 Zabbix agent protocol
3 Zabbix sender protocol
4 Header
5 Real-time export protocol
1 Items supported by platform
2 vm.memory.size parameters
3 Passive and active agent checks
4 Trapper items
5 Minimum permission level for Windows agent items
6 Encoding of returned values
7 Large file support
8 Sensor
9 Notes on memtype parameter in proc.mem items
10 Notes on selecting processes in proc.mem and proc.num items
11 Implementation details of net.tcp.service and net.udp.service checks
12 Unreachable/unavailable host interface settings
13 Remote monitoring of Zabbix stats
14 Configuring Kerberos with Zabbix
15 modbus.get parameters
1 Foreach functions
2 Bitwise functions
3 Date and time functions
4 History functions
5 Mathematical functions
5 Trend functions
6 Operator functions
7 Prediction functions
8 String functions
1 Supported macros
2 User macros supported by location
8 単位と記号
9 日時フォーマット
10 コマンドの実行
13 バージョン間の互換性
14 データベースエラーハンドリング
15 Windows用のZabbix sender ダイナミックリンクライブラリ
16 Issues with SELinux
17 Other issues
17 サービスモニタリングのアップグレード
18 Agent と agent 2 の比較
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service
Become a monitoring expert!
Sign up for Zabbix training

Table of Contents

Zabbixの安全なセットアップのためのベストプラクティス

概要

このセクションでは、Zabbixを安全に設定するために遵守すべきベストプラクティスを紹介します。

ここに記載されている内容は、Zabbixの動作に必須ではありませんが、システムのセキュリティを向上させるために推奨されるものです。

最小特権の原則

Zabbixでは、常に最小特権の原則(Principle of least privilege)を使用する必要があります。
この原則は、ユーザアカウント(Zabbixフロントエンド)またはプロセスユーザ(Zabbix server /proxy またはagent)は
意図した機能を実行するために必要な権限のみを持つということを意味します。言い換えると、常にユーザアカウントは
可能な限り少ない権限で実行する必要があります。

"zabbix" ユーザに特別なパーミッションを与えると、設定ファイルへのアクセスや操作の実行が可能になり、
インフラ全体のセキュリティが脅かされる可能性があります。

ユーザアカウントに最小権限原則を導入する場合、Zabbixの フロントエンドユーザ タイプを考慮する必要があります。
"Admin"ユーザタイプは"Super Admin"ユーザタイプよりも少ない権限しか持ちませんが、
管理者権限を持っており、設定の管理やカスタムスクリプトの実行が可能です。

一部の情報は、非特権ユーザーでも利用可能です。 例えば、AdministrationScripts は"Super Admin" 以外では利用できませんが、
スクリプト自体はZabbix APIを利用することで実行可能です。スクリプトで利用できる機密情報の漏洩を防ぐために、
スクリプトのパーミッションを制限し、(アクセス認証などの)機密情報を追加しないようにしてください。

Zabbix agent の実行ユーザ

デフォルトの設定では、Zabbix serverとZabbix agent のプロセスは、単一の"zabbix"ユーザを共有します。
server 設定の機密情報(例:データベースのログイン情報)に agent がアクセスできないようにしたい場合は、
以下の手順でagent を別のユーザで実行する必要があります:

  1. セキュアユーザーの作成
  2. agent 設定ファイル("User"パラメータ)でこのユーザを指定する。
  3. 管理者権限でエージェントを再起動します。指定したユーザには特権が与えられます。

UTF-8 エンコーディング

UTF-8はZabbixがサポートする唯一のエンコーディングです。
このエンコーディングはセキュリティ上の欠陥なく動作することが知られています。
他のエンコードを使用する場合、セキュリティ上の問題があることが判明しているため、ユーザは注意が必要です。

ZabbixフロントエンドのSSL設定

RHEL/CentOSの場合、mod_sslパッケージをインストールします:
yum install mod_ssl

SSL key用のディレクトリを作成します:

mkdir -p /etc/httpd/ssl/private 
       chmod 700 /etc/httpd/ssl/private

SSL証明書を作成します:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/httpd/ssl/private/apache-selfsigned.key -out /etc/httpd/ssl/apache-selfsigned.crt

プロンプトを適切に記入してください。最も重要なのは、コモンネームを要求する行です。
サーバーに関連づけたいドメイン名を入力する必要があります。
ドメイン名がない場合は、パブリックIP アドレスを入力することもできます。ここでは、example.com を使用します。 

Country Name (2 letter code) [XX]:
       State or Province Name (full name) []:
       Locality Name (eg, city) [Default City]:
       Organization Name (eg, company) [Default Company Ltd]:
       Organizational Unit Name (eg, section) []:
       Common Name (eg, your name or your server's hostname) []:example.com
       Email Address []:

Apache のSSL configuration を設定します:

/etc/httpd/conf.d/ssl.conf
       
       DocumentRoot "/usr/share/zabbix"
       ServerName example.com:443
       SSLCertificateFile /etc/httpd/ssl/apache-selfsigned.crt
       SSLCertificateKeyFile /etc/httpd/ssl/private/apache-selfsigned.key

設定変更を反映させるため、Apacheを再起動します:

systemctl restart httpd.service

URLのルートディレクトリでZabbixを有効化する

Apacheの設定にバーチャルホストを追加し、ドキュメントルートをZabbix SSL URLに恒久的にリダイレクトするよう設定します。 このとき、忘れずにexample.comを実際のサーバ名に置き換えてください。

/etc/httpd/conf/httpd.conf
       
       #Add lines
       
       <VirtualHost *:*>
       ServerName example.com
       Redirect permanent / https://example.com
       </VirtualHost>

設定変更を反映させるために、Apache を再起動します。
systemctl restart httpd.service

Web サーバーで HTTP Strict Transport Security (HSTS) を有効にする

Zabbixフロントエンドをプロトコルダウングレード攻撃から保護するために、以下のことを推奨します。

HSTS ポリシーを有効にすることをお勧めします。

例えば、Apacheの設定でZabbixフロントエンドのHSTSポリシーを有効にする場合:

/etc/httpd/conf/httpd.conf

バーチャルホストの設定に以下のディレクティブを追加してください。

<VirtualHost *:443>
       Header set Strict-Transport-Security "max-age=31536000"
       </VirtualHost>

設定変更を反映させるため、Apache を再起動します。

systemctl restart httpd.service

Webサーバの情報公開を無効にする

Webサーバのハードニングプロセスの一環として、すべてのWebサーバのシグネチャを無効にすることをお勧めします。
Webサーバは、デフォルトでソフトウェア のシグネチャを公開します。

この署名は、Apache(例として使用)の設定ファイルに2行追加することで無効にすることができます。

ServerSignature Off
       ServerTokens Prod

PHPのシグネチャ(X-Powered-By HTTPヘッダー)は、php.iniの設定ファイルを変更することで無効にできます(デフォルトではシグネチャは無効になっています)

expose_php = Off

設定ファイルの変更を反映させるためには、Webサーバの再起動が必要です。

Apacheでmod_security (package libapache2-mod-security2) を使用することにより、さらにセキュリティレベルを上げることができます。
mod_security によって、サーバシグネチャを削除することができます。インストール後に"SecServerSignature"を任意の値に変更できます。

ソフトウェアシグネチャの削除・変更方法については、お使いのWebサーバーのドキュメントを参照してください。

デフォルトのWebサーバのエラーページを無効にする

情報漏洩を防ぐため、デフォルトのエラーページを無効化することをお勧めします。
Webサーバは、デフォルトで組み込みのエラーページを使用しています:

デフォルトのエラーページは、Webサーバのハードニングプロセスの一環として、置き換え/削除する必要があります。
”ErrorDocument" ディレクティブは (例としてApache) Webサーバ用のカスタムエラーページ/テキストを定義するために使用されます。

デフォルトのエラーページを置き換える/削除する方法については、お使いのWebサーバのドキュメントを参照してください。

Webサーバのテストページを削除する

情報漏洩を防ぐため、Webサーバのテストページは削除することをお勧めします。
デフォルトでは、WebサーバーのWebrootには、index.htmlと呼ばれるテストページが含まれています。
(Ubuntu の Apache2 を例としています):

テストページは、Webサーバのハードニングプロセスの一環として削除するか、利用できないようにする必要があります。

Zabbixの設定

デフォルトでは、Zabbixは*X-Frame-Options HTTP response ヘッダを SAMEORIGIN に設定し、
ページと同じオリジンを持つフレームにのみコンテンツを読み込むことができるように設定されています。

外部URLからコンテンツを取得するZabbixフロントエンド要素(すなわち URL ダッシュボード ウィジェット) は、
取得したコンテンツをサンドボックスで表示し、サンドボックスの制限をすべて有効にしています。

これらの設定により、Zabbixフロントエンドのセキュリティが強化され、XSS攻撃やクリックジャッキング攻撃から保護します。
"Super Admins" は以下のことが可能です。
変更

iframe sandboxingX-Frame-Options HTTP レスポンスヘッダー のパラメータを必要に応じて追加してください。
デフォルトの設定を変更する前に、リスクとメリットを慎重に検討してください。
サンドボックスまたはX-Frame-Optionsを完全にオフにすることは推奨されません。

OpenSSLを使用したWindows版のZabbix agent

OpenSSLを使用してコンパイルされたWindows版のZabbix agent は、C:¥openssl-64bitに置かれたSSL設定ファイルに到達しようとします。
ディスクC:\の openssl-64bitディレクトリ は、非特権ユーザでも作成可能です。
そのため、セキュリティ強化のために、このディレクトリを手動で作成し、管理者以外のユーザーから書き込み権限を剥奪する必要があります。
32ビット版と64ビット版のWindowsでは、ディレクトリ名が異なりますのでご注意ください。

共通パスワードのリストを含むファイルの隠蔽

パスワードのブルートフォースアタックの複雑性を高めるために、以下のような方法があります。
ui/data/top_passwords.txt へのアクセスを制限することをお勧めします。

このファイルには、最も一般的なパスワードやコンテキスト固有のパスワードのリストが含まれており
Avoid easy-to-guess passwords パラメータが[passwordpolicy] (/manual/web_interface/frontend_sections/administration/authentication#internal_authentication) で有効になっている場合、
ユーザーがそのようなパスワードを設定できないようにするために使用されます。

例えば、NGINX では location ディレクティブを使用してファイルへのアクセスを制限することができます。

location = /data/top_passwords.txt {​​​​​​​ 
       deny all; 
       return 404; 
       }​​​​​​​

Apacheでは、 - .htacess ファイルで:

<Files "top_passwords.txt"> 
       Order Allow,Deny 
       Deny from all 
       </Files>

セキュリティの脆弱性

Zabbix Java gatewayのlogbackバージョン1.2.7およびそれ以前のバージョンでは、
設定ファイルの編集に必要な権限を持つ攻撃者が、不正な設定を行うことが可能です。
これにより、攻撃者はLDAPサーバから読み込まれた任意のコードを実行できるようになります。

CVE-2021-42550 の脆弱性は Zabbix 5.4.9以降修正されています。
しかし、追加のセキュリティ対策として、以下のことを行うことを推奨します。
/etc/zabbix/zabbix_java_gateway_logback.xml ファイルのパーミッションをチェックし、
"zabbix" ユーザに書き込み権限がある場合は、読み取り専用に設定することを推奨します。

© 2001-2022 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license: CC Attribution-Noncommercial-Share Alike 4.0 International
Trademark Policy