Documentation

这是原厂英文文档的翻译页面. 欢迎帮助我们 完善文档.
1 常见问题/疑难解答
1 数据库创建
2 修复Zabbix数据库字符集与排序规则
1 MySQL 加密配置
2 PostgreSQL 加密配置
4 TimescaleDB 配置
5 Elasticsearch 配置
6 实时导出事件,监控项采集值,趋势数据
7 关于Zabbix配置Nginx的特别说明
8 使用root权限运行agent
9 Microsoft Windows下的Zabbix agent
11 Additional frontend languages
11 使用OKTA进行SAML设置
1 Zabbix server
2 Zabbix proxy
3 Zabbix agent (UNIX)
4 Zabbix agent 2 (UNIX)
5 Zabbix agent (Windows)
6 Zabbix agent 2 (Windows)
7 Zabbix Java gateway
8 概述
1 Server-proxy 数据交换协议
2 Zabbix Agent协议
3 Zabbix agent 2 protocol
3 Zabbix sender 协议
4 Zabbix agent 2 plugin protocol
4 标头
5 实时导出协议
1 不同平台支持的监控项
2 参数vm.memory.size
3 zabbix agent的被动和主动检查
4 捕捉器监控项
5 Windows代理监控项的最小权限级别
6 返回值的编码
7 大文件支持
8 传感器
9 proc.mem 监控项中memtype参数类型的注意事项
10 在proc.mem和proc.num项目中选择进程的注意事项
11 net.tcp.service 和 net.udp.service 检查的实现细节
12 不可达/不可用 主机设置
13 远程监控Zabbix状态
14 使用Zabbix配置Kerberos监控
1 触发器函数
1 宏使用场景
2 用户自定义宏使用场景
8 单位符号说明
9 时间段配置
10 命令执行
13 版本兼容性
14 Python library for Zabbix API
14 数据库错误处理
15 适用于Windows的Zabbix sender 动态链接库
16 SELINUX的问题
17 其他问题
18 Agent与agent2对比
1 手册结构
2 Zabbix 介绍
3 Zabbix 功能
4 Zabbix 概述
5 Zabbix 5.0.0 新功能特性
6 Zabbix 5.0.1 新功能特性
7 Zabbix 5.0.2 新功能特性
8 Zabbix 5.0.3 新功能特性
9 Zabbix 5.0.4 新功能特性
10 Zabbix 5.0.5 新功能特性
11 Zabbix 5.0.6 新功能特性
12 Zabbix 5.0.7 新功能特性
13 Zabbix 5.0.8 新功能特性
14 What's new in Zabbix 5.0.9
15 What's new in Zabbix 5.0.10
15 What's new in Zabbix 5.0.11
16 What's new in Zabbix 5.0.12
17 What's new in Zabbix 5.0.13
18 What's new in Zabbix 5.0.14
19 What's new in Zabbix 5.0.15
20 What's new in Zabbix 5.0.16
21 What's new in Zabbix 5.0.17
22 What's new in Zabbix 5.0.18
23 What's new in Zabbix 5.0.19
24 What's new in Zabbix 5.0.20
25 What's new in Zabbix 5.0.21
26 What's new in Zabbix 5.0.22
27 What's new in Zabbix 5.0.23
28 What's new in Zabbix 5.0.24
29 What's new in Zabbix 5.0.25
30 What's new in Zabbix 5.0.26
31 What's new in Zabbix 5.0.27
32 What's new in Zabbix 5.0.28
33 What's new in Zabbix 5.0.29
34 What's new in Zabbix 5.0.30
35 What's new in Zabbix 5.0.31
36 What's new in Zabbix 5.0.32
37 What's new in Zabbix 5.0.33
38 What's new in Zabbix 5.0.34
39 What's new in Zabbix 5.0.35
40 What's new in Zabbix 5.0.36
41 What's new in Zabbix 5.0.37
42 What's new in Zabbix 5.0.38
43 What's new in Zabbix 5.0.39
44 What's new in Zabbix 5.0.40
45 What's new in Zabbix 5.0.41
46 What's new in Zabbix 5.0.42
47 What's new in Zabbix 5.0.43
2. 定义
1 Server
2 Agent
3 Agent 2
4 Proxy
1 使用源码安装
2 从 RHEL/CentOS 包安装
3 从 Debian/Ubuntu 包安装
6 Sender
7 Get
8 JS
1 获取 Zabbix
安全设置 Zabbix 的最佳实践
1 在Windows上安装Zabbix agent 2
2 在macOS上安装zabbix agent
3 在Windows上安装Zabbix agent
1 Red Hat Enterprise Linux/CentOS
2 DEBIAN/UBUNTU/RASPBIAN
3 SUSE Linux Enterprise Server
4 通过MSI安装Windows agent
5 从PKG安装MAC OS代理
Installation with OpenShift
Updating to PHP 7.3 packages
2 Debian/Ubuntu前端安装
1 Red Hat Enterprise Linux/CentOS
2 Debian/Ubuntu
从源代码包升级
1 Compilation issues
9 模板变更
10 Zabbix 5.0.0 升级说明
11 Zabbix 5.0.1 升级说明
12 Zabbix 5.0.2 升级说明
13 Zabbix 5.0.3 升级说明
14 Zabbix 5.0.4 升级说明
15 Zabbix 5.0.5 升级说明
16 Zabbix 5.0.6 升级说明
17 Zabbix 5.0.7 升级说明
18 Zabbix 5.0.8 升级说明
19 Upgrade notes for 5.0.9
20 Upgrade notes for 5.0.10
21 Upgrade notes for 5.0.11
22 Upgrade notes for 5.0.12
23 Upgrade notes for 5.0.13
24 Upgrade notes for 5.0.14
25 Upgrade notes for 5.0.15
26 Upgrade notes for 5.0.16
27 Upgrade notes for 5.0.17
28 Upgrade notes for 5.0.18
29 Upgrade notes for 5.0.19
30 Upgrade notes for 5.0.20
31 Upgrade notes for 5.0.21
32 Upgrade notes for 5.0.22
33 Upgrade notes for 5.0.23
34 Upgrade notes for 5.0.24
35 Upgrade notes for 5.0.25
36 Upgrade notes for 5.0.26
37 Upgrade notes for 5.0.27
38 Upgrade notes for 5.0.28
39 Upgrade notes for 5.0.29
40 Upgrade notes for 5.0.30
41 Upgrade notes for 5.0.31
42 Upgrade notes for 5.0.32
43 Upgrade notes for 5.0.33
44 Upgrade notes for 5.0.34
45 Upgrade notes for 5.0.35
46 Upgrade notes for 5.0.36
47 Upgrade notes for 5.0.37
48 Upgrade notes for 5.0.38
49 Upgrade notes for 5.0.39
50 Upgrade notes for 5.0.40
51 Upgrade notes for 5.0.41
52 Upgrade notes for 5.0.42
1 登陆和配置用户
2 新建主机
3 新建监控项
4 新建触发器
5 获取问题通知
6 新建模版
6. Zabbix 应用
1 创建主机
2 资产管理
3 批量更新
1 监控项键值的格式
2 自定义时间间隔
1 使用举例
2 预处理详情
转义JSONPath中的LLD宏值中的特殊字符
额外的JavaScript对象
5 CSV 转换成 JSON预处理
Windows的监控项键值
Zabbix agent 2
1 动态索引
2 特定OID
3 MIB筛选器
3 SNMP trap
4 IPMI检查
1 VMware监控项
6 日志文件监控
7 可计算监控项
8 内部检查
9 SSH检查
10 Telnet检查
11 外部检查
12 聚合检查
13 捕捉器监控项
14 JMX监控
1 MySQL推荐的UnixODBC设置
2 PostgreSQL数据库推荐的UnixODBC设置
3 Oracle数据库推荐的UnixODBC设置
4 MSSQL数据库设推荐的UnixODBC设置
16 从属监控项
17 HTTP代理
18 Prometheus 数据处理
4 历史数据与趋势数据
1 扩展Zabbix Agents
6 可加载模块
7 Windows性能计数器
8 批量更新
9 值映射
10 应用
11 队列
12 值缓存
13 立刻执行
14 插件
15 限制agent检查
1 配置一个触发器
2 触发器表达式
3 触发器依赖关系
4 触发器严重性
5 自定义触发器严重性
7 批量更新
8 预测触发功能
1 触发器事件生成
2 手动关闭问题事件
3 其他事件来源
事件标签
2 全局事件关联
1 Simple graphs
2 Custom graphs
3 Ad-hoc graphs
4 Aggregation in graphs
1 Configuring a network map
2 Host group elements
3 Link indicators
1 Screen elements
4 Slide shows
5 Host screens
6 Dashboard
1 配置模板
2 链接/取消链接
3 嵌套
4 批量更新
HTTP 模板操作
IPMI 摸板操作
JMX 摸板操作
ODBC 摸板操作
Zabbix agent 2 模板操作
Zabbix agent 模板操作
网络设备的标准化模板
1 电子邮件
2 短信
3 自定义报警脚本
Webhook脚本范例
1 条件
1 发送消息
2 远程命令
3 附加操作
4 在信息中使用宏
3 恢复操作
4 Update operations
5 通知升级
3 接收不支持监控项的通知
1 宏函数
2 User macros
3 上下文用户宏
4 低级别发现宏
1 配置用户
2 权限
3 用户组
8. 服务监控
1 Web监控项
2 真实场景监控
1 虚拟机发现key字段
11. 维护
12. 正则表达式
13. 问题确认
1 主机组
2 模板
3 主机
4 网络拓扑图
5 聚合图形
6 媒介类型
1 配置网络发现规则
2 Active agent自动注册
1 发现已挂载的文件系统
2 发现网络接口
3 发现CPU和CPU核心
4 发现SNMP OIDs
5 发现JMX对象
6 发现IPMI传感器
7 自动发现systemd服务
8 Windows发现服务
9 发现Windows性能计数器实例
10 使用WMI查询发现
11 使用ODBC SQL查询发现
12 使用Prometheus数据发现
13 发现块设备
14 发现Zabbix主机的接口
自动发现(LLD)事项
1 代理
1 使用证书
2 使用共享密钥
1 连接类型或权限问题
2 证书问题
3 PSK问题
1 菜单
1 仪表板小构件
2 问题
1 图表
2 WEB场景
4 概览
5 最新数据
6 聚合图形
7 拓扑图
8 自动发现
9 服务
1 概览
2 主机
1 系统信息
2 可用性报表
3 触发器前100
4 审计
5 动作日志
6 警报
1 主机组
2 模板
1 应用集
2 监控项
3 触发器
4 图形
5 发现规则
6 Web场景
4 维护
5 动作
6 事件关联
7 自动发现
8 IT服务
1 常规设置
2 代理
3 身份验证
4 用户组
5 用户
6 媒体类型
7 脚本
8 队列
1 全局通知
2 浏览器中的声音
4 全局搜索
5 前端维护模式
6 页面参数
7 定义
8 自定义主题
9 调试模式
10 Zabbix使用的Cookies
>动作对象
创建动作
删除动作
更新动作
查询动作
告警对象
获取告警
API版本信息
创建应用集
删除应用集
应用集对象
应用集添加监控项
更新应用集
检索应用集
> 1.审计日志对象
2.检索审计日志
> 1.自动注册对象
2.更新
3.获取
配置导入
配置导出
> 对象
创建
删除
更新
获取
> 对象
创建
删除
更新
获取
> 对象
获取
> 对象
获取
> 对象
获取
> 1.发现规则对象
2.drule.create
3.drule.delete
4.drule.get
5.drule.update
> 1.Event对象
2.event.acknowledge
3.event.get
> 1.图表对象
2.graph.create
3.graph.delete
4.graph.get
5.graph.update
> 1.图表监控项对象
2.graphitem.get
> 1.Graph prototype object
2.graphprototype.create
3.graphprototype.delete
4.graphprototype.get
5.graphprototype.update
> 历史对象
获取
> 主机对象
创建
删除
批量删除
批量更新
批量添加
更新
获取
> 主机组对象
创建
删除
批量删除
批量更新
批量添加
更新
获取
> 主机接口对象
创建
删除
批量删除
批量添加
更新
替换
获取
> 主机原型对象
创建
删除
更新
获取
> 图标映射对象
创建
删除
更新
获取
> 图像对象
创建
删除
更新
获取
> 监控项对象
创建
删除
更新
获取
> 监控项原型对象
创建
删除
更新
获取
> LLD 规则对象
创建
删除
复制
更新
获取
> 维护模式对象
创建
删除
更新
获取
> 对象
创建
删除
更新
获取
> 对象
创建
删除
更新
获取
> 对象
获取
> Proxy 对象
创建
删除
更新
获取
> 对象
创建
删除
更新
获取
> 对象
创建
删除
聚合图形监控项.更新位置信息
聚合图形监控项更新
聚合图形监控项获取
> 对象
创建
删除
更新
脚本运行
获取
通过主机获取脚本
> 对象
创建
删除
删除依赖
删除服务时间
更新
添加依赖
添加服务时间
获取
获取SLA
> 对象
创建
获取
> 对象
创建
删除
批量删除
批量更新
批量添加
更新
获取
> 对象
创建
删除
复制
更新
获取
> 对象
获取
> 对象
获取
> 对象
创建
删除
删除依赖
更新
添加依赖
获取
> 对象
创建
删除
更新
获取
> 用户对象
创建
删除
更新
检查认证
注销
登录
获取
> 用户组对象
创建
删除
更新
获取
> 用户宏对象
创建主机宏
创建全局宏
删除主机宏
删除全局宏
更新主机宏
更新全局宏
获取
> 值映射对象
创建
删除
更新
获取
> Web场景对象
创建
删除
更新
获取
Zabbix API在5.0版本中的变更
附录 1. 参考说明
附录 2. 从版本4.4到版本5.0的一些变更
20. 组件
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server

15 限制agent检查

概述

可以通过创建项目黑名单、白名单或白名单/黑名单的组合来限制agent的检查。

为此,请结合使用两个agent配置参数:

*''AllowKey=<pattern>''-允许哪些检查;<pattern>使用通配符(*)表达式指定
       *''DenyKey=<pattern>''-拒绝哪些检查;<pattern>使用通配符(*)表达式指定

请注意:

  • 在默认情况下,全部system.run[*] 项(远程命令、脚本)是禁用的,即使没有指定拒绝键;
  • 从Zabbix 5.0.2 agent参数EnableRemoteCommands:
   * deprecated  Zabbix agent已经弃用
          * unsupported  Zabbix agent2不支持

因此,要允许所有远程命令,请指定AllowKey=system.run[*]参数。(在Zabbix 5.0.2版本前,agent配置中还需要EnableRemoteCommands=1。)

要仅允许某些远程命令,请创建更具体的AllowKey[]参数的白名单。要禁止特定的远程命令,请在AllowKey=system.run[*]之前添加DenyKey参数。

重要规则

  • 没有拒绝规则的白名单只允许system.run[*]项。对于所有其它项,如果没有DenyKey参数,则不允许使用AllowKey参数;在这种情况下,Zabbix agent将不会仅使用AllowKey参数启动
  • 顺序很重要。指定参数在配置文件中按其出现顺序逐一检查:
    • 一旦项键与允许/拒绝规则匹配,该项即被允许或拒绝;并且规则检查停止。因此,如果一个项同时匹配允许规则和拒绝规则,那么结果将取决于哪个规则排在第一位。
    • 顺序还影响EnableRemoteCommands参数(如果使用)。
  • 支持无限数量的AllowKey/DenyKey参数。
  • AllowKey、DenyKey规则不影响HostnameItem、HostMetadataItem、HostInterfaceItem配置参数。
  • 键模式是一个通配符表达式,其中通配符(*)与特定位置的任意数量的任意字符匹配。它可以用于关键字名称和参数。
  • 如果在agent配置中不允许某个特定的项密钥,则该项将被报告为不受支持(没有给出有关原因的提示);
  • 带有--print(-p)命令行选项的Zabbix agent将不显示配置不允许的密钥;
  • 带有--test(-t)命令行选项的Zabbix agent将返回"Unsupported item key."配置不允许的键的状态;
  • 拒绝的远程命令不会记录在agent日志中(如果LogRemoteCommands=1)。

用例

拒绝特定检查

*黑名单一个特定的检查与DenyKey参数。不允许匹配密钥。除system.run[]项外,允许使用所有不匹配的密钥。

例如:

# 拒绝安全数据访问
       DenyKey=vfs.file.contents[/etc/passwd,*]

<note important>黑名单可能不是一个好的选择,因为新的Zabbix版本可能具有不受现有配置明确限制的新密钥。这可能会导致安全漏洞。 :::

拒绝特定命令,允许其它命令
  • 使用DenyKey参数将特定命令列入黑名单。使用AllowKey参数白名单所有其它命令。
# 不允许特定命令
       DenyKey=system.run[ls -l /]
        
       # 允许其它脚本
       AllowKey=system.run[*]
允许特定检查,拒绝其它检查
  • 使用AllowKey参数的白名单特定检查,使用DenyKey=*拒绝其它检查

例如:

# 允许读取日志:
       AllowKey=vfs.file.*[/var/log/*]
       
       # 允许本地时间检查
       AllowKey=system.localtime[*]
       
       # 拒绝所有其它密钥
       DenyKey=*

模式示例

模式 描 匹配 不匹配
* 匹配所有可能的带参数或不带参数的键。 Any None
vfs.file.contents 匹配vfs.file.contents没有参数。 vfs.fi e.contents vfs.fi e.contents[/etc/passwd]
vfs.file.contents[] 匹配vfs.file.contents具有空参数。 vfs.fil .contents[] vfs.fil .contents
vfs.file.contents[*] 匹配vfs.file.contents具有任何参数;将不匹配vfs.file.contents没有方括号。 vfs.file.contents
 ]  vfs.file.contentsvfs.file.contents[/path/to/file]
vfs.file.contents[/etc/passwd,*] 匹配vfs.file.contents的第一个参数与/etc/passwd匹配,所有其它参数都有任何值(也为空)。 vfs.file.contents[/etc/pass d,]  vfs.file.contents[/etc/passvfs.file.contents[/etc/passwd,utf8] d]
vfs.file.contents[/var/log/zabbix_server.log]
vfs.file.contents[]
vfs.file.contents[*passwd*] 匹配vfs.file.contents的第一个参数与*passwd*匹配,没有其它参数。 vfs.file.contents
 /etc/passwd] vfs.file.contents
 /etc/passwd,]
vfs.file.contents[/etc/passwd, utf8]
vfs.file.contents[*passwd*,*] 匹配vfs.file.contents中只有第一个参数匹配*passwd*,并且后面的所有参数都有任何值(也为空)。 vfs.file.contents[/etc/passwd,
   vfs.file.contents[/etc/passwd]vfs.file.contents[/etc/passwd, utf8] <vfs.file.contents[/tmp/test]
vfs.file.contents[/var/log/zabbix_server.log,*,abc] 匹配 vfs.file.contents的第一个参数匹配/var/log/zabbix_server.log,匹配“abc”的第三个参数和任何(也是空的)第二个参数。 vfs.file.contents[/var/log/zabbi _server.log,,abc]  vfs.file.contents[/var/log/zabbivfs.file.contents[/var/log/zabbix_server.log,utf8,abc] _server.log,,abc,def]
vfs.file.contents[/etc/passwd,utf8] 匹配vfs.file.contents的第一个参数匹配/etc/passwd,第二个参数匹配“utf8”,没有其它参数。 vfs.file.contents[/etc/p sswd,utf8] vfs.file.contents[/etc/p sswd,]
vfs.file.contents[/etc/passwd,utf16]
vfs.file.* 匹配以vfs.file.开头没有任何参数。 vfs.file.co tents  vfs.file.covfs.file.size tents[]
vfs.file.size[/var/log/zabbix_server.log]
vfs.file.*[*] 匹配以vfs.file.开头的任何键vfs.file文件任何参数。 vfs.file.size.b tes[]  vfs.file.size.bvfs.file.size[/var/log/zabbix_server.log, utf8] tes
vfs.*.contents 匹配以vfs.开始并以.contents 结束不带任何参数的任何键。 vfs.mount.point.fil .contents  vfs.contentsvfs..contents

system.run 和 AllowKey

例如myscript.sh的脚本文件可以通过Zabbix agent在主机上以几种方式执行:

1. 作为被动或主动检查中的项目键,例如:

  • system.run[myscript.sh]
  • system.run[myscript.sh,wait]
  • system.run[myscript.sh.nowait]

在此,用户可以添加"wait"、"nowait",或者省略第二个参数,在system.run[]中使用其默认值。

2. 作为全局脚本(由用户在前端或API中启动)。

用户在AdministrationScripts/中配置此脚本,设置“Execute on:Zabbix agent”并放置myscript.sh文件输入到脚本的“Commands”输入字段。从前端或API调用时,Zabbix server将发送到agent:

  • system.run[myscript.sh,wait] - 最高支持到Zabbix 5.0.4版本
  • system.run[myscript.sh] - 从5.0.5版本开始支持

在此,用户不控制"wait"/"nowait"参数。

3. 作为一个动作的远程命令。Zabbix server向agent发送:

  • system.run[myscript.sh,nowait]

在此,用户同样不控制"wait"/"nowait"参数。

这意味着如果我们把AllowKey设置为:

AllowKey=system.run[myscript.sh]

  • system.run[myscript.sh]-将被允许
  • system.run[myscript.sh,wait], system.run[myscript.sh,nowait] 将不被允许-如果作为操作步骤调用,脚本将不会运行

要允许所有描述的变体,您可以添加:

AllowKey=system.run[myscript.sh,*] 
       DenyKey=system.run[*]

到agent/agent2参数。

© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy