Documentation

1 Структура упутства
2 Шта је Zabbix
3 Zabbix карактеристике
4 Zabbix преглед
5 Шта је ново у Zabbix-у 7.4.0
6 Шта је ново у Zabbix-у 7.4.x
2 Дефиниције
1 Висока доступност
2 Агент
3 Агент 2
4 Прокси
1 Подешавање из извора
2 Подешавање из RHEL пакета
3 Подешавање из Debian/Ubuntu пакета
6 Пошиљалац
7 Get
8 JS
9 Веб сервис
1 Преузимање Zabbix
2 Захтеви
1 Изградња Zabbix агента на Windows-у
2 Изградња Zabbix агента 2 на Windows-у
3 Компилација Zabbix агента на macOS-у
4 Инсталација Windows агента из MSI-ја
5 Инсталација Mac OS агента из PKG-а
6 Нестабилна издања
5 Инсталација из контејнера
6 Инсталација веб интерфејса
1 Надоградња из извора
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
3 Надоградња из контејнера
1 Проблеми са компилацијом
2 Проблеми са надоградњом у вези са избегавањем специјалних карактера
9 Промене шаблона
10 Белешке о надоградњи за 7.4.0
11 Белешке о надоградњи за верзију 7.4.x
1 Пријава и конфигурисање корисника
2 Нови домаћин
3 Нова ставка
4 Нови окидач
5 Примање обавештења о проблему
6 Нови шаблон
6 Zabbix appliance
1 Host Wizard
2 Конфигурисање домаћина
3 Конфигурисање групе домаћина
4 Инвентар
4 Масовно ажурирање
1 Формат кључа ставке
2 Прилагођени интервали
1 Тестирање предобраде
2 Детаљи претходне обраде
3 Примери предобраде
1 Избегавање специјалних знакова из LLD макро вредности у JSONPath
1 Додатни JavaScript објекти
2 Објекти JavaScript ставке Browser-а
6 Предобрада CSV-а у JSON
1 Zabbix агент 2
2 Zabbix агент за Windows
1 Динамички индекси
2 Специјални OID-ови
3 MIB датотеке
3 SNMP замке
4 IPMI провере
1 VMware кључеви ставки за надгледање
6 Надгледање датотеке дневника
1 Збирни прорачуни
8 Интерне провере
9 SSH провере
10 Telnet провере
11 Екстерне провере
12 Трапер ставке
13 ЈМКС надгледње
14 ODBC надгледање
15 Зависне ставке
16 HTTP агент
17 Prometheus checks
18 Ставке скрипте
19 Ставке претраживача
4 Историја и трендови
1 Проширивање Zabbix агената
6 Windows бројачи перформанси
7 Масовно ажурирање
8 Мапирање вредности
9 Ред
10 Кеш вредности
11 Извршите сада
12 Ограничавање провера агената
1 Конфигурисање окидача
2 Окидач израз
3 Зависности покретача
4 Озбиљност окидача
5 Прилагођавање озбиљности окидача
6 Масовно ажурирање
7 Предиктивне функције окидача
1 Окидач за генерисање догађаја
2 Други извори догађаја
3 Ручно затварање проблема
1 Корелација догађаја заснована на окидачу
2 Глобална корелација догађаја
6 Означавање
1 Једноставни графикони
2 Прилагођени графикони
3 Ad-hoc графикони
4 Агрегација у графиконима
1 Конфигурисање мрежне мапе
2 Елементи групе домаћина
3 Индикатори везе
3 Контролне табле
1 Конфигурисање шаблона
2 Конфигурисање групе шаблона
3 Повезивање/раскидање везе
4 Угнеждавање
5 Масовно ажурирање
1 Рад шаблона Zabbix агента
2 Рад шаблона Zabbix агента 2
3 HTTP шаблонска операција
4 Рад са IPMI шаблоном
5 JMX рад шаблона
6 Рад са ODBC шаблоном
7 Стандардизовани шаблони за мрежне уређаје
8 Рад са VMware шаблоном
1 Automated Gmail/Office365 media types
2 SMS
3 Прилагођене скрипте упозорења
1 Примери Вебхук скрипти
1 Услови
1 Слање поруке
2 Даљинске команде
3 Додатне операције
4 Коришћење макроа у порукама
3 Операције опоравка
4 Операције ажурирања
5 Ескалације
3 Примање обавештења о неподржаним ставкама
1 Макро функције
2 Кориснички макрои
3 Кориснички макрои са контекстом
4 Тајни кориснички макрои
5 Макрои за откривање ниског нивоа
6 Макрои израза
1 Конфигурисање корисника
2 Дозволе
3 Групе корисника
1 CyberArk конфигурација
2 HashiCorp конфигурација
14 Планирани извештаји
1 Извези у датотеке
2 Стримовање на екстерне системе
3 СНМП мрежни пролаз
1 Стабло услуга
2 SLA
3 Пример подешавања
1 Ставке за праћење веба
2 Сценарио из стварног живота
1 VMware кључеви ставки за надгледање
2 Поља кључа за откривање виртуелне машине
3 JSON примера за VMware ставке
4 Пример подешавања VMware надгледања
11 Одржавање
12 Регуларни изрази
1 Сузбијање проблема
1 Групе шаблона
2 Групе домаћина
3 Шаблони
4 Домаћини
5 Мрежне мапе
6 Типови медија
1 Конфигурисање правила за откривање мреже
2 Аутоматска регистрација активног агента
1 Прототипови ставки
2 Прототипови окидача
3 Прототипови графова
4 Прототипови домаћина
5 Прототипови откривања
6 Напомене о откривању ниског нивоа
1 Откривање монтираних система датотека
2 Откривање мрежних интерфејса
3 Откривање CPUs и CPU језгара
4 Откривање SNMP OIDs
5 Откривање SNMP OID-а (застарело)
6 Откривање JMX објеката
7 Откривање IPMI сензора
8 Откривање системских услуга
9 Откривање Windows услуга
10 Откривање инстанци бројача перформанси Windows-а
11 Откривање помоћу WMI упита
12 Откривање помоћу ODBC SQL упита
13 Откриће помоћу података Prometheus
14 Откривање блок уређаја
15 Откривање домаћина интерфејса у Zabbix-у
8 Прилагођена LLD правила
1 Синхронизација конфигурације надгледања
2 Балансирање оптерећења проксија и висока доступност
1 Коришћење сертификата
2 Коришћење унапред дељених кључева
1 Проблеми са типом везе или дозволама
2 Проблеми са сертификатом
3 PSK проблеми
1 Мени догађаја
2 Мени домаћина
3 Мени ставки
1 Дневник акција
2 Сат
3 Статус откривања
4 Омиљени графици
5 Омиљене мапе
6 Индикатор
7 Геомапа
8 Граф
9 Графикон (класичан)
10 Прототип графа
11 Honeycomb
12 Доступност домаћина
13 Картица домаћина
14 Навигатор домаћина
15 Картица ставке
16 Историја ставке
17 Навигатор ставки
18 Вредност ставке
19 Мапа
20 Мапа навигационог стабла
21 Pie графикон
22 Проблем домаћина
23 Проблеми
24 Проблеми по озбиљности
25 SLA извештај
26 Информације о систему
27 Најважнији домаћини
28 Топ ставке
29 Најважнији окидачи
30 Преглед окидача
31 URL
32 Веб надгледање
1 Узрок и проблеми са симптомима
1 Graphs
2 Контролне табле домаћина
3 Web scenarios
3 Најновији подаци
4 Мапе
5 Откривање
1 Услуге
2 SLA
3 SLA извештај
1 Преглед
2 Hosts
1 Информације о систему
2 Планирани извештаји
3 Извештај о доступности
4 Најбољих 100 окидача
5 Дневник ревизије
6 Action log
7 Обавештења
1 Групе шаблона
2 Host groups
1 Ставке
2 Triggers
3 Графови
1 Прототипови предмета
2 Trigger prototypes
3 Прототипови графова
4 Прототипови домаћина
5 Прототипови откривања
5 Веб сценарија
1 Ставке
2 Окидачи
3 Графови
1 Прототипови ставке
2 Прототипови окидача
3 Прототипови графова
4 Прототипови домаћина
5 Прототипови откривања
5 Веб сценарија
5 Одржавање
6 Event correlation
7 Откривање
1 Акције
2 Типови медија
3 Скрипте
1 Групе корисника
2 Улоге корисника
3 Корисници
4 API токени
1 HTTP
2 LDAP
3 SAML
4 MFA
1 Опште
2 Дневник ревизије
3 Одржавање домаћинства
4 Проксији
5 Прокси групе
6 Макрои
7 Ред
1 Глобална обавештења
2 Звук у претраживачима
4 Глобална претрага
5 Режим одржавања корисничког интерфејса
6 Параметри странице
7 Дефиниције
8 Креирање сопствене теме
9 Режим за отклањање грешака
10 Колачићи које користи Zabbix
11 Временске зоне
12 Ресетовање лозинке
13 Селектор временског периода
1 Обезбеђивање MySQL/MariaDB
2 Обезбеђивање PostgreSQL/TimescaleDB
2 Криптографија
3 Веб сервер
2 Најбоље праксе за конфигурацију
LLD објекат правила
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
MFA објекат
mfa.create
mfa.delete
mfa.get
mfa.update
SLA објекат
sla.create
sla.delete
sla.get
sla.getsli
sla.update
Акциони објекат
action.create
action.delete
action.get
action.update
Обjекат упозорења
alert.get
Објекат аутентификације
authentication.get
authentication.update
Ауторегистрациони објекат
autoregistration.get
autoregistration.update
Објекат веб сценарија
httptest.create
httptest.delete
httptest.get
httptest.update
Графички објекат
graph.create
graph.delete
graph.get
graph.update
Графички објекат
graphitem.get
Објекат групе домаћина
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
Објекат корисничке групе
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
Објекат групе шаблона
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
Објекат дневника ревизије
auditlog.get
Објекат догађаја
event.acknowledge
event.get
Објекат домаћина
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
Објекат задатка
task.create
task.get
Пријавите објекат
report.create
report.delete
report.get
report.update
Објекат интерфејса домаћина
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
apiinfo.version
Историја објект
history.clear
history.get
history.push
Објекат конектора
connector.create
connector.delete
connector.get
connector.update
Објекат контролне табле
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
1 Дневник акција
2 Сат
3 Статус откривања
4 Омиљени графици
5 Омиљене мапе
6 Индикатор
7 Геомапа
8 Граф
9 Графикон (класичан)
10 Прототип графа
11 Honeycomb
12 Доступност домаћина
13 Картица домаћина
14 Host navigator
15 Историја предмета
15 Картица ставке
16 Навигатор ставки
18 Вредност ставке
19 Мапа
20 Мапа навигационог стабла
21 Pie chart
22 Проблем домаћина
23 Проблеми
24 Проблеми по озбиљности
25 SLA извештај
26 Информације о систему
27 Top hosts
28 Top items
29 Top triggers
30 Trigger overview
31 URL
32 Web monitoring
configuration.export
configuration.import
configuration.importcompare
Корелациони објекат
correlation.create
correlation.delete
correlation.get
correlation.update
Кориснички објекат
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.provision
user.resettotp
user.unblock
user.update
Објекат корисничког директоријума
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
Објекат макроа корисника
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
Објекат мапе
map.create
map.delete
map.get
map.update
Објекат мапе вредности
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
Икона мапа објекта
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
Објекат модула
module.create
module.delete
module.get
module.update
Објекат одржавања
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
Објекат домаћина
housekeeping.get
housekeeping.update
Окидач објекат
trigger.create
trigger.delete
trigger.get
trigger.update
Откривени сервисни објекат
dservice.get
Discovered host object
dhost.get
Објекат подешавања
settings.get
settings.update
Објекат правила откривања
drule.create
drule.delete
drule.get
drule.update
Проблемски објекат
problem.get
Обjекат за проверу откривања
dcheck.get
Прокси објекат
proxy.create
proxy.delete
proxy.get
proxy.update
Објекат групе прокси
proxygroup.create
proxygroup.delete
proxygroup.get
proxygroup.update
Објекат прототипа правила LLD
discoveryruleprototype.create
discoveryruleprototype.delete
discoveryruleprototype.get
discoveryruleprototype.update
Графички прототип објекта
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
Host prototype object
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
Покрени објекат прототипа
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
Објект прототипа ставке
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
Објекат регуларног израза
regexp.create
regexp.delete
regexp.get
regexp.update
Објекат скрипте
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
Објекат слике
image.create
image.delete
image.get
image.update
Објекат ставке
item.create
item.delete
item.get
item.update
Објекат типа медија
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
Објекат токена
token.create
token.delete
token.generate
token.get
token.update
Објекат тренда
trend.get
Објекат улоге
role.create
role.delete
role.get
role.update
Објекат сервиса
service.create
service.delete
service.get
service.update
Чворни објекат високе доступности
hanode.get
Објекат шаблона
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
Објекат контролне табле шаблона
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
Додатак 1. Референтни коментар
Додатак 2. Промене са 7.2 на 7.4
Додатак 3. Промене у 7.4
1 Модули који се могу учитати
1 Израда додатака који се могу учитати
3 Кориснички интерфјес модули
1 Креирање базе података
2 Поправка скупа знакова и колације базе података Zabbix
3 Надоградња базе података на примарне кључеве
4 Припрема auditlog табеле за партиционисање
1 Конфигурација MySQL шифровања
2 Конфигурација PostgreSQL енкрипције
6 TimescaleDB подешавање
6 Безбедна веза са корисничким интерфејсом
7 Elasticsearch подешавање
8 Напомене специфичне за дистрибуцију о подешавању Nginx за Zabbix
9 Покретање агента као root
10 Zabbix агент на Microsoft Windows-у
11 SAML конфигурисање са Microsoft Entra ID-ијем
12 Подешавање SAML-ом са Okta-ом
13 SAML подешавање са OneLogin-ом
14 Подешавање заказаних извештаја
16 Додатни језици за кориснички интерфејс
1 Zabbix server
2 Zabbix proxy
3 Zabbix agent (UNIX)
4 Zabbix агент 2 (UNIX)
5 Zabbix agent (Windows)
6 Zabbix agent 2 (Windows)
1 Ceph додатак
2 Docker plugin
3 Ember+ plugin
4 Memcached plugin
5 Modbus додатак
6 MongoDB додатак
7 MQTT додатак
8 MSSQL додатак
9 MySQL додатак
10 NVIDIA GPU додатак
10 Oracle plugin
12 PostgreSQL додатак
13 Redis додатак
13 SMART додатак
8 Zabbix Java gateway
9 Zabbix web service
10 Променљиве окружења
10 Укључивање
1 Протокол за размену података између сервера и проксија
2 Zabbix agent/agent2 protocol
4 Zabbix agent 2 plugin protocol
5 Zabbix sender protocol
6 Заглавље
7 Протокол за извоз JSON-а раздвојеног новим редом
1 параметри vm.memory.size
2 Провере пасивног и активног агента
3 Минимални ниво дозволе за ставке Windows агента
4 Кодирање враћених вредности
5 Подршка за велике датотеке
6 Сензор
7 Напомене о параметру memtype у ставкама proc.mem
8 Напомене о одабиру процеса у proc.mem и proc.num ставкама
9 Детаљи имплементације провера net.tcp.service и net.udp.service
10 proc.get parameters
11 Подешавања за недоступан/непостојећи интерфејс домаћина
12 Даљинско праћење Zabbix статистике
13 Конфигурисање Kerberos-а са Zabbix-ом
14 modbus.get параметри
15 Креирање прилагођених имена бројача перформанси за VMware
16 Повратне вредности за system.sw.packages.get
17 Повратне вредности за net.dns.get
18 Напомене о ставкама system.cpu.util на Windows-у
1 Foreach функције
2 Битовске функције
3 Функције датума и времена
4 Функције историје
5 Функције тренда
6 Математичке функције
7 Функције оператора
8 Функције предвиђања
9 Функције низова
1 Макрои које подржава локација
2 Кориснички макрои подржани од стране локације
8 Time period syntax
8 Unit symbols
9 Извршење команде
10 Компатибилност верзија
12 Zabbix sender динамичка библиотека за Windows
13 Python library for Zabbix API
14 Service monitoring upgrade
15 Остала питања
16 Поређење агента и агента 2
17 Примери избегавања
1 Надглење Linux-а помоћу Zabbix агента
2 Надгледајте Windows помоћу Zabbix агента
3 Надгледајте Apache преко HTTP-а
4 Надгледајте MySQL са Zabbix агентом 2
5 Надгледајте VMware помоћу Zabbix-а
6 Пратите мрежни саобраћај помоћу Zabbix-а
7 Надгледање мрежног саобраћаја користећи активне провере
8 Надгледајте веб локације са ставкама претраживача
9 Надгледање сертификата веб локације помоћу Zabbix агента 2 (пасивно)
10 Надгледајте мрежни прекидач или рутер помоћу Zabbix-а
11 Пратите дневник догађаја у систему Windows помоћу активних провера
1 Deploy Zabbix with Zabbix Cloud
2 Node configuration
3 Adding users
4 Key differences between Zabbix Cloud and on-premises
manifest.json
Акције
Погледи
Assets
Региструјте нови модул
Конфигурација
Презентација
Креирајте модул (водич)
Направите виџет (водич)
Примери
Примери
Интерфејси додатака
Направите додатак (водач)
Промене у развоју екстензија
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_get
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

1 Коришћење сертификата

Преглед

Zabbix може да користи RSA сертификате у PEM формату, потписане од стране јавног или интерног ауторитета за сертификате (CA).

Верификација сертификата се врши у односу на унапред конфигурисани CA сертификат. Опционо, могу се користити Листе опозива сертификата (CRL).

Свака Zabbix компонента може имати конфигурисан само један сертификат.

За више информација о подешавању и раду интерног CA, генерисању и потписивању захтева за сертификате и опозивању сертификата, погледајте туторијале као што је OpenSSL PKI Tutorial v2.0.

Пажљиво размотрите и тестирајте проширења својих сертификата. За више детаља, погледајте Ограничења коришћења X.509 v3 проширења сертификата.

Параметри конфигурације сертификата

Следећи параметри конфигурације су подржани за подешавање сертификата на Zabbix компонентама.

Parameter Mandatory Description
TLSCAFile yes Пуна путања датотеке која садржи сертификате CA највишег нивоа за верификацију сертификата вршњака.
Ако користите ланац сертификата са више чланова, прво поређајте сертификате са сертификатима CA нижег нивоа, а затим сертификате CA вишег нивоа.
Сертификати из више CA могу бити укључени у једну датотеку.
TLSCRLFile no Пуна путања датотеке која садржи Листе опозваних сертификата (CRL).
TLSCertFile yes Пуна путања датотеке која садржи сертификат.
Ако користите ланац сертификата са више чланова, поређајте сертификате тако да прво буду сертификати сервера, проксија или агента, затим сертификати CA нижег нивоа, и на крају сертификати CA вишег нивоа.
TLSKeyFile yes Пуна путања датотеке која садржи приватни кључ.
Уверите се да ову датотеку може да чита само Zabbix корисник подешавањем одговарајућих права приступа.
TLSServerCertIssuer no Дозвољени издавалац сертификата сервера.
TLSServerCertSubject no Дозвољени субјект сертификата сервера.

Примери конфигурације

Након подешавања потребних сертификата, конфигуришите Zabbix компоненте да користе шифровање засновано на сертификатима.

Испод су детаљни кораци за конфигурисање:

Zabbix сервер

1. Припремите датотеку CA сертификата.

Да би верификовао peer сертификате, Zabbix сервер мора имати приступ датотеци која садржи самопотписане коренске CA сертификате највишег нивоа. На пример, ако су потребни сертификати од два независна коренска сертификациона ауторитета (CA), ставите их у датотеку на /home/zabbix/zabbix_ca_file.crt:

Сертификат:
       Подаци:
       Верзија: 3 (0x2)
       Серијски број: 1 (0x1)
       Алгоритам потписа: sha1WithRSAEncryption
       Издавалац: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
       ...
       Наслов: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
       Информације о јавном кључу субјекта:
       Алгоритам јавног кључа: rsaEncryption
       Јавни кључ: (2048 бита)
       ...
       X509v3 екстензије:
       X509v3 Употреба кључа: критично
       Потпис сертификата, CRL Sign
       CA:TRUE
       ...
       -----ПОЧЕТАК СЕРТИФИКАТА-----
       MIID2jCCAsKgAwIBAgIBATANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ....
       9wEzdN8uTrqoyU78gi12npLj08LegRKjb5hFTVmO
       -----КРАЈ СЕРТИФИКАТА-----
       сертификат:
           Подаци:
               Верзија: 3 (0x2)
               Серијски број: 1 (0x1)
           Алгоритам потписа: sha1WithRSAEncryption
               Издавач: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
       ...
               Предмет:  DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
               Информације о јавном кључу субјекта:
              Алгоритам јавног кључа: rsaEncryption
             Јавни кључ: (2048 бита)
       ....
       X509v3 екстензије:
       X509v3 употреба кључа: критична
       Потпис сертификата, CRL Sign
       Основна ограничења X509v3: критична
       CA:TRUE
       ....
       -----ПОЧЕТАК СЕРТИФИКАТА-----
       MIID3DCCAsSgAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQB
       ...
       vdGNYoSfvu41GQAR5Vj5FnRJRzv5XQOZ3B6894GY1zY=
       -----КРАЈ СЕРТИФИКАТА-----

2. Поставите сертификат/ланац сертификата Zabbix сервера у датотеку, на пример, на /home/zabbix/zabbix_server.crt. Први сертификат је сертификат Zabbix сервера, а затим следи средњи CA сертификат:

Сертификат:
       Подаци:
       Верзија: 3 (0x2)
       Серијски број: 1 (0x1)
       Алгоритам потписа: sha1WithRSAEncryption
       Издавалац: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
       ...
       Наслов: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix server
       Информације о јавном кључу субјекта:
       Алгоритам јавног кључа: rsaEncryption
       Јавни кључ: (2048 бита)
       ...
       X509v3 екстензије:
       X509v3 употреба кључа: критична
       Дигитални потпис, шифровање кључа
       X509v3 основна ограничења:
       CA:FALSE
       ...
       -----ПОЧЕТАК СЕРТИФИКАТА-----
       MIIECDCCAvCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk
       ...
       h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ==
       -----КРАЈ СЕРТИФИКАТА-----
       сертификат:
           Подаци:
               Верзија: 3 (0x2)
               Серијски број: 2 (0x2)
               Алгоритам потписа: sha1WithRSAEncryption
               Издавач: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               ...
               Предмет: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               Информације о јавном кључу субјекта:
               Алгоритам јавног кључа: rsaEncryption
               Јавни кључ: (2048 бита)
       ...
       X509v3 екстензије:
       X509v3 Употреба кључа: критична
       Потпис сертификата, CRL Sign
       X509v3 Основна ограничења: критична
       CA:TRUE, pathlen:0
       ...
       -----ПОЧЕТАК СЕРТИФИКАТА-----
       MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ...
       dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw==
       -----КРАЈ СЕРТИФИКАТА-----

Користите само атрибуте поменуте горе за клијентске и серверске сертификате како бисте избегли утицај на процес верификације сертификата. На пример, OpenSSL можда неће успети да успостави шифровану везу ако се користе екстензије X509v3 Subject Alternative Name или Netscape Cert Type. За више информација погледајте Ограничења коришћења екстензија сертификата X.509 v3.

3. Поставите приватни кључ Zabbix сервера у датотеку, на пример, на /home/zabbix/zabbix_server.key:

-----ПОЧЕТАК ПРИВАТНОГ КЉУЧА-----
       MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl
       ...
       IJLkhbybBYEf47MLhffWa7XvZTY=
       -----КРАЈ ПРИВАТНОГ КЉУЧА-----

4. Измените параметре конфигурације TLS-а у конфигурационој датотеци Zabbix сервера:

TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_server.crt
       TLSKeyFile=/home/zabbix/zabbix_server.key
Zabbix прокси

  1. Припремите датотеке са CA сертификатима највишег нивоа, Zabbix прокси сертификатом/ланцем сертификата и приватним кључем као што је описано у одељку Zabbix сервер. Затим, уредите параметре TLSCAFile, TLSCertFile и TLSKeyFile у Zabbix прокси конфигурационој датотеци у складу са тим.

  2. Уредите додатне TLS параметре у Zabbix прокси конфигурационој датотеци:

  • За активни прокси: TLSConnect=cert
  • За пасивни прокси: TLSAccept=cert

Да бисте побољшали безбедност проксија, можете подесити и параметре TLSServerCertIssuer и TLSServerCertSubject. За више информација, погледајте Ограничавање дозвољеног издаваоца сертификата и субјекта.

TLS параметри у коначној конфигурационој датотеци проксија могу изгледати на следећи начин:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix сервер,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_proxy.crt
       TLSKeyFile=/home/zabbix/zabbix_proxy.key

3. Конфигуришите шифровање за овај прокси у Zabbix кориснички интерфејс:

  • Идите на: Администрација → Проксији.
  • Изаберите прокси и кликните на картицу Шифровање.

У доњим примерима, поља Издавалац и Наслов су попуњена. За више информација о томе зашто и како користити ова поља, погледајте Ограничавање дозвољеног издаваоца сертификата и наслова.

За активни прокси:

За пасивни прокси:

Zabbix агент

  1. Припремите датотеке са CA сертификатима највишег нивоа, сертификатом/ланцем сертификата Zabbix агента и приватним кључем као што је описано у одељку Zabbix сервер. Затим, уредите параметре TLSCAFile, TLSCertFile и TLSKeyFile у конфигурационој датотеци Zabbix агента у складу са тим.

  2. Уредите додатне TLS параметре у конфигурационој датотеци Zabbix агента:

  • За активног агента: TLSConnect=cert
  • За пасивног агента: TLSAccept=cert

Да бисте побољшали безбедност агента, можете подесити параметре TLSServerCertIssuer и TLSServerCertSubject. За више информација погледајте Ограничавање дозвољеног издаваоца сертификата и субјекта.

TLS параметри у коначној конфигурационој датотеци агента могу изгледати на следећи начин. Имајте на уму да пример претпоставља да домаћин прати прокси, па је наведен као наслов сертификата:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_agentd.crt
       TLSKeyFile=/home/zabbix/zabbix_agentd.key
  1. Конфигуришите шифровање у Zabbix кориснички интерфејс за домаћина који прати овај агент.
  • Идите на: Прикупљање података → Домаћини.
  • Изаберите домаћина и кликните на картицу Шифровање.

У доњем примеру, поља Издавалац и Наслов су попуњена. За више информација о томе зашто и како користити ова поља, погледајте Ограничавање дозвољеног издаваоца сертификата и наслова.

Zabbix веб сервис

  1. Припремите датотеке са CA сертификатима највишег нивоа, сертификатом/ланцем сертификата Zabbix веб сервиса и приватним кључем као што је описано у одељку Zabbix сервер. Затим, уредите параметре TLSCAFile, TLSCertFile и TLSKeyFile у конфигурационој датотеци Zabbix веб сервиса у складу са тим.

  2. Измените додатни TLS параметар у конфигурационој датотеци Zabbix веб сервиса: TLSAccept=cert

TLS параметри у коначној конфигурационој датотеци веб сервиса могу изгледати овако:

TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_web_service.crt
       TLSKeyFile=/home/zabbix/zabbix_web_service.key
  1. Конфигуришите Zabbix сервер да се повеже са TLS-конфигурисаним Zabbix веб сервисом уређивањем параметра WebServiceURL у конфигурационој датотеци Zabbix сервера:
WebServiceURL=https://example.com

Ограничавање дозвољеног издаваоца сертификата и субјекта

Када две Zabbix компоненте (на пример, сервер и агент) успоставе TLS везу, оне међусобно валидирају сертификате. Ако је peer сертификат потписан од стране поузданог CA (са унапред конфигурисаним сертификатом највишег нивоа у TLSCAFile), важећи је, није истекао и прође друге провере, онда комуникација између компоненти може да се настави. У овом најједноставнијем случају, издавалац сертификата и субјект нису верификовани.

Међутим, ово представља ризик: свако ко има важећи сертификат може да се представља као било ко други (на пример, сертификат хоста може се користити за представљање сервера). Иако ово може бити прихватљиво у малим окружењима где сертификате потписује наменски интерни CA и ризик од представљања је низак, можда неће бити довољно у већим или окружењима осетљивијим на безбедност.

Ако ваш CA највишег нивоа издаје сертификате које Zabbix не би требало да прихвати или ако желите да смањите ризик од представљања, можете ограничити дозвољене сертификате тако што ћете навести њиховог издаваоца и субјекта.

На пример, у конфигурационој датотеци Zabbix проксија, можете навести:

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Са овим подешавањима, активни прокси неће комуницирати са Zabbix сервером чији сертификат има другог издаваоца или тему. Слично томе, пасивни прокси неће прихватати захтеве са таквог сервера.

Правила за упаривање стрингова Issuer и Subject

Правила за упаривање стрингова Issuer и Subject су следећа:

  • Стрингови Issuer и Subject се проверавају независно. Оба су опциона.
  • Неодређени стринг значи да се прихвата било који стринг.
  • Стрингови се упоређују какви јесу и морају се тачно подударати.
  • Подржани су UTF-8 знакови. Међутим, џокери (*) или регуларни изрази нису подржани.
  • Следећи захтеви RFC 4514 су имплементирани - знакови који захтевају излаз (са обрнутом косом цртом '\', U+005C):
  • било где у стрингу: '"' (U+0022), '+' (U+002B), ',' (U+002C), ';' (U+003B), '<' (U+003C), '>' (U+003E), '\\' (U+005C);
  • на почетку стринга: размак (' ', U+0020) или знак броја ('#', U+0023);
  • на крају стринга: размак (' ', U+0020).
  • Нулти знакови (U+0000) нису подржани. Ако се наиђе на празан знак, подударање неће успети.
  • Стандарди RFC 4517 и RFC 4518 нису подржани.

На пример, ако стрингови организације Issuer и Subject (O) садрже размаке на крају, а стринг организационе јединице Subject (OU) садржи двоструке наводнике, ови знакови морају бити избегнути:

TLSServerCertIssuer=CN=Signing CA,OU=Development head,O=\ Example SIA\ ,DC=example,DC=com
       TLSServerCertSubject=CN=Zabbix сервер,OU=Development group \"5\",O=\ Example SIA\ ,DC=example,DC=com
Редослед и форматирање поља

Zabbix прати препоруке RFC 4514, који одређује „обрнути“ редослед за ова поља, почевши од поља најнижег нивоа (CN), преко поља средњег нивоа (OU, O), и завршавајући са пољима највишег нивоа (DC).

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Насупрот томе, OpenSSL подразумевано приказује стрингове Issuer и Subject редоследом од највишег до најнижег нивоа. У следећем примеру, поља „Издавалац“ и „Наслов“ почињу пољем највишег нивоа („DC“) и завршавају се пољем нижег нивоа („CN“). Форматирање размацима и сепараторима поља такође варира у зависности од коришћених опција и стога се неће подударати са форматом који захтева Zabbix.

$ опенссл к509 -нооут -ин /хоме/заббик/заббик_проки.црт -издавач -субјецт
       издавач= /ДЦ=цом/ДЦ=заббик/О=Заббик СИА/ОУ=Развојна група/ЦН=Потписујући ЦА
       субјецт= /ДЦ=цом/ДЦ=заббик/О=Заббик СИА/ОУ=Развојна група/ЦН=Заббик проки

       $ опенссл к509 -нооут -тект -ин /хоме/заббик/заббик_проки.црт
       сертификат:
           ...
               Издавач: ДЦ=цом, ДЦ=заббик, О=Заббик СИА, ОУ=Развојна група, ЦН=потписни ЦА
               ...
               Предмет: ДЦ=цом, ДЦ=заббик, О=Заббик СИА, ОУ=Развојна група, ЦН=Заббик проки

Да бисте правилно форматирали низове Иссуер и Субјецт за Заббик, Позовите OpenSSL са следећим опцијама:

$ openssl x509 -noout -issuer -subject \
       -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname\
       -in /home/zabbix/zabbix_proxy.crt

Излаз ће тада бити у обрнутом редоследу, одвојен зарезима и употребљив у Zabbix конфигурационим датотекама и фронтенду:

issuer= CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       subject= CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Ограничења коришћења X.509 v3 екстензија сертификата

Приликом имплементације X.509 v3 сертификата унутар Zabbix-а, одређене екстензије можда неће бити у потпуности подржане или могу довести до недоследног понашања.

Екстензија за алтернативно име субјекта

Zabbix не подржава екстензију Алтернативно име субјекта, која се користи за одређивање алтернативних DNS имена као што су IP адресе или имејл адресе. Zabbix може само да валидира вредност у пољу Наслов сертификата (погледајте Ограничавање дозвољеног издаваоца сертификата и субјекта). Ако сертификати садрже поље subjectAltName, исход валидације сертификата може да варира у зависности од специфичних крипто алата који се користе за компајлирање Zabbix компоненти. Као резултат тога, Zabbix може или да прихвати или да одбије сертификате на основу ових комбинација.

Екстензија за проширену употребу кључа

Zabbix подржава екстензију Проширена употреба кључа. Међутим, ако се користи, генерално је потребно да буду наведени и атрибути clientAuth (за аутентификацију TLS WWW клијента) и serverAuth (за аутентификацију TLS WWW сервера). На пример:

  • Код пасивних провера, где Zabbix агент ради као TLS сервер, атрибут serverAuth мора бити укључен у сертификат агента.

  • Код активних провера, где агент ради као TLS клијент, атрибут clientAuth мора бити укључен у сертификат агента.

Иако GnuTLS може издати упозорење за кршења употребе кључа, обично дозвољава да се комуникација настави упркос овим упозорењима.

Проширење „Ограничења имена“

Подршка за проширење Ограничења имена варира међу крипто алатима. Уверите се да изабрани алат подржава ово проширење. Ово проширење може ограничити Zabbix у учитавању CA сертификата ако је овај одељак означен као критичан, у зависности од специфичног алата који се користи.

Листе опозваних сертификата (CRL)

Ако је сертификат угрожен, ауторитет за издавање сертификата (CA) може га опозвати укључивањем сертификата у Листу опозваних сертификата (CRL). CRL-овима се управља путем конфигурационих датотека и могу се навести помоћу параметра TLSCRLFile у конфигурационим датотекама сервера, проксија и агента. На пример:

TLSCRLFile=/home/zabbix/zabbix_crl_file.crt

У овом случају, zabbix_crl_file.crt може да садржи CRL-ове од више CA и може да изгледа овако:

-----BEGIN X509 CRL-----
       MIIB/DCB5QIBATANbgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixkARkWA2Nv
       ...
       treZeUPjb7LSmZ3K2hpbZN7SoOZcAoHQ3GWd9npuctg=
       -----END X509 CRL-----
       -----BEGIN X509 CRL-----
       MIIB+TCB4gIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQBGRYDY29t
       ...
       CAEebS2CND3ShBedZ8YSil59O6JvaDP61lR5lNs=
       -----END X509 CRL-----

CRL датотека се учитава само када се Zabbix покрене. Да бисте ажурирали CRL, поново покрените Zabbix.

Ако су Zabbix компоненте компајлиране са OpenSSL-ом и користе се CRL-ови, уверите се да сваки CA највишег нивоа и средњи у ланцима сертификата има одговарајући CRL (чак и ако је празан) укључен у TLSCRLFile.

© 2001-2025 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy