Documentation

This is a translation of the original English documentation page. Help us make it better.
2 Qu'est-ce que Zabbix ?
3 Fonctionnalités de Zabbix
4 Aperçu de Zabbix
5 Quoi de neuf dans Zabbix 6.0.0
6 Quoi de neuf dans Zabbix 6.0.1
7 Quoi de neuf dans Zabbix 6.0.2
8 Quoi de neuf dans Zabbix 6.0.3
9 Quoi de neuf dans Zabbix 6.0.4
10 Quoi de neuf dans Zabbix 6.0.5
11 Quoi de neuf dans Zabbix 6.0.6
12 Quoi de neuf dans Zabbix 6.0.7
13 Quoi de neuf dans Zabbix 6.0.8
14 Quoi de neuf dans Zabbix 6.0.9
15 Quoi de neuf dans 6.0.10
16 Quoi de neuf dans Zabbix 6.0.11
17 Quoi de neuf dans Zabbix 6.0.12
18 Quoi de neuf dans Zabbix 6.0.13
19 Quoi de neuf dans Zabbix 6.0.14
20 Quoi de neuf dans Zabbix 6.0.15
21 What's new in Zabbix 6.0.16
22 What's new in Zabbix 6.0.17
23 What's new in Zabbix 6.0.18
24 What's new in Zabbix 6.0.19
25 What's new in Zabbix 6.0.20
26 What's new in Zabbix 6.0.21
27 What's new in Zabbix 6.0.22
28 What's new in Zabbix 6.0.23
29 What's new in Zabbix 6.0.24
30 What's new in Zabbix 6.0.25
31 What's new in Zabbix 6.0.26
32 What's new in Zabbix 6.0.27
33 What's new in Zabbix 6.0.28
34 What's new in Zabbix 6.0.29
35 What's new in Zabbix 6.0.30
36 What's new in Zabbix 6.0.31
37 What's new in Zabbix 6.0.32
38 What's new in Zabbix 6.0.33
39 What's new in Zabbix 6.0.34
40 What's new in Zabbix 6.0.35
41 What's new in Zabbix 6.0.36
Structure
2. Définitions
1 Cluster haute disponibilité
2 Agent
3 Agent 2
4 Proxy
1 Configuration à partir des sources
2 Installation à partir des paquets RHEL
3 Configuration depuis les packages Debian/Ubuntu
6 Sender
7 Get
8 JS
9 Web service
1 Obtenir Zabbix
1 Dépendances du plugin PostgreSQL
2 Dépendances du plugin MongoDB
Aperçu
Construire l'agent Zabbix 2 sous Windows
Construire l'agent Zabbix sous Windows
Construire l'agent Zabbix sur macOS
1 Red Hat Enterprise Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise Server
4 Installation de l'agent Windows à partir de MSI
5 Installation de l'agent Mac OS à partir de PKG
6 Versions instables
5 Installation depuis les containers
Installation du frontend sur Debian/Ubuntu
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
Mise à jour depuis les sources
1 Compilation issues
9 Modifications des modèles
10 Notes de mise à jour pour 6.0.0
11 Notes de mise à jour pour 6.0.1
12 Notes de mise à jour pour 6.0.2
13 Notes de mise à jour pour 6.0.3
14 Notes de mise à jour pour 6.0.4
15 Notes de mise à jour pour 6.0.5
16 Notes de mise à jour pour 6.0.6
17 Notes de mise à jour pour 6.0.7
18 Notes de mise à jour pour 6.0.8
19 Notes de mise à jour pour 6.0.9
20 Notes de mise à jour pour 6.0.10
21 Notes de mise à jour pour 6.0.11
22 Notes de mise à jour pour 6.0.12
23 Notes de mise à jour pour 6.0.13
24 Notes de mise à jour pour 6.0.14
25 Upgrade notes for 6.0.15
26 Upgrade notes for 6.0.16
27 Upgrade notes for 6.0.17
28 Upgrade notes for 6.0.18
29 Upgrade notes for 6.0.19
30 Upgrade notes for 6.0.20
31 Upgrade notes for 6.0.21
32 Upgrade notes for 6.0.22
33 Upgrade notes for 6.0.23
34 Upgrade notes for 6.0.24
35 Upgrade notes for 6.0.25
36 Upgrade notes for 6.0.26
37 Upgrade notes for 6.0.27
38 Upgrade notes for 6.0.28
39 Upgrade notes for 6.0.29
39 Upgrade notes for 6.0.30
41 Upgrade notes for 6.0.31
42 Upgrade notes for 6.0.32
43 Upgrade notes for 6.0.33
44 Upgrade notes for 6.0.34
45 Upgrade notes for 6.0.35
46 Upgrade notes for 6.0.36
1 Connexion et configuration de l'utilisateur
2 Nouvel hôte
3 Nouvel élément
4 Nouveau déclencheur
5 Recevoir une notification de problème
6 Nouveau modèle
6. Appliance Zabbix
1 Configuration d'un hôte
2 Inventaire
3 Modification collective
1 Format de clé d’élément
2 Intervalles personnalisés
1 Exemples d'utilisation
2 Détails du prétraitement
Échapper les caractères spéciaux des valeurs de macro LLD dans JSONPath
Objets JavaScript supplémentaires
5 Prétraitement CSV vers JSON
Clés d'élément spécifiques à l'agent 2
Clés d'éléments spécifiques à Windows
1 Index dynamiques
2 OID spéciaux
3 Fichiers MIB
4 Vérifications IPMI
Clés d'élément de surveillance VMware
6 Supervision des fichiers journaux
Calculs agrégés
8 Vérifications internes
9 Vérifications SSH
10 Vérifications Telnet
11 Vérifications externes
12 Elément trapper
13 Surveillance JMX
1 Paramètres UnixODBC recommandés pour MySQL
2 Paramètres UnixODBC recommandés pour PostgreSQL
3 Paramètres recommandés pour UnixODBC sur Oracle
4 Paramètres UnixODBC recommandés pour MSSQL
15 Éléments dépendants
16 Agent HTTP
17 Vérifications Prometheus
18 Éléments de script
Aperçu
4 Historique et tendances
1 Extension des agents Zabbix
6 Modules chargeables
7 Compteurs de performances Windows
8 Mise à jour de masse
9 Table de correspondance des valeurs
10 File d'attente
11 Cache de valeur
12 Exécuter maintenant
13 Restreindre les vérifications des agents
1 Construire des plugins chargeables
1 Configuration d'un déclencheur
2 Expression de déclenchement
3 Dépendance des déclencheurs
4 Sévérité des déclencheurs
5 Personnalisation des sévérités des déclencheurs
6 Modification collective
7 Fonctions prédictives de déclenchement
1 Génération d'événement déclencheur
2 Autres sources d'événements
3 Fermeture manuelle des problèmes
1 Corrélation d'événements basée sur les déclencheurs
2 Corrélation globale des événements
6 Balisage
1 Graphiques simples
2 Graphiques personnalisés
3 Graphiques ad-hoc
4 Agrégation dans les graphiques
1 Configuration d'une carte réseau
2 Éléments du groupe d'hôtes
3 Indicateurs de lien
3 Tableaux de bord
4 Tableaux de bord d'hôte
1 Configuration d'un modèle
2 Lier/Délier
3 Imbrication
4 Mise à jour de masse
Fonctionnement du modèle d'agent Zabbix
Fonctionnement du modèle de l'agent Zabbix 2
Fonctionnement du modèle JMX
Fonctionnement du modèle ODBC
Modèles standardisés pour les périphériques réseaux
Opération de modèle HTTP
Opération de modèle IPMI
1 E-mail
2 SMS
3 Scripts d'alerte personnalisés
Exemples de script Webhook
1 Conditions
1 Envoi d'un message
2 Commandes à distance
3 Opérations supplémentaires
4 Utiliser des macros dans les messages
3 Opérations de récupération
4 Opérations de mise à jour
5 Escalades
3 Réception de notification pour des éléments non supportés
1 Fonctions de macro
2 Macros utilisateur
3 Macros utilisateur avec contexte
4 Macros de découverte de bas niveau
5 Macros d'expression
1 Configuration d'un utilisateur
2 Permissions
3 Groupes d'utilisateur
13 Stockage des secrets
14 Rapports planifiés
1 Arborescence des services
2 Actions de service
3 SLA
4 Exemple de configuration
1 Éléments de supervision Web
2 Scénario concret
1 Champs clés de découverte de machine virtuelle
11. Maintenance
12. Expressions régulières
13. Acquittement des problèmes
1 Groupes d'hôte
2 Modèles
3 Hôtes
4 Cartes du réseau
5 Types de média
1 Configuration d'une règle de découverte réseau
2 Enregistrement automatique d'agent actif
1 Prototypes d"élément
2 Prototypes de déclencheur
3 Prototypes de graphique
4 Notes sur la découverte de bas niveau
1 Découverte des systèmes de fichiers montés
2 Découverte des interfaces réseau
3 Découverte des processeurs et des cœurs
4 Découverte des OID SNMP
5 Découverte d'objets JMX
6 Découverte des capteurs IPMI
7 Découverte des services systemd
8 Découverte des services Windows
9 Découverte des instances de compteur de performance Windows
10 Découverte à l'aide de requêtes WMI
11 Découverte à l'aide de requêtes SQL ODBC
12 Découverte à l'aide des données Prometheus
13 Découverte des périphériques de bloc
14 Découverte des interfaces d'hôtes dans Zabbix
7 Custom LLD rules
1 Proxys
1 Par certificat
2 Par clés pré-partagées (PSK)
1 Problèmes de type de connexion ou d'autorisation
2 Problèmes de certificat
3 Problèmes PSK
1 Menu
1 Journal des actions
2 Horloge
3 Aperçu des données
4 Statut de découverte
5 Graphiques favoris
6 Cartes préférées
7 Géocarte
8 Graphique
9 Graphique (classique)
10 Prototype de graphique
11 Disponibilité de l'hôte
12 Valeur d'élément
13 Carte
14 Arborescence de navigation de la carte
15 Texte brut
16 Hôtes problématiques
17 Problèmes
18 Problèmes par gravité
19 Rapport SLA
20 Information système
20 Top hôtes
22 Aperçu de déclencheur
22 URL
24 Surveillance Web
2 Problèmes
1 Graphiques
2 Scenarios Web
4 Dernières données
5 Cartes
6 Découverte
1 Services
2 Actions de service
3 SLA
4 Rapport SLA
1 Aperçu
2 Hôtes
1 Information système
2 Rapports planifiés
3 Rapport de disponibilité
4 Top 100 des déclencheurs
5 Audit
6 Journal des actions
7 Notifications
1 Groupes d'hôtes
1 Eléments
2 Déclencheurs
3 Graphiques
1 Prototypes d'élément
2 Prototypes de déclencheur
3 Prototypes de graphique
4 Prototypes d'hôtes
5 Scénarios Web
1 Eléments
2 Déclencheurs
3 Graphiques
1 Prototypes d'élément
2 Prototypes de déclencheur
3 Prototypes de graphique
4 Prototypes d'hôtes
5 Scénarios Web
4 Maintenance
5 Actions
6 Corrélation des événements
7 Découverte
1 Général
2 Proxys
3 Authentification
4 Groupes d'utilisateurs
5 Rôles des utilisateurs
6 Utilisateurs
7 Types de médias
8 Scripts
9 File d'attente
1 Notifications globales
2 Son dans les navigateurs
4 Recherche globale
5 Mode maintenance de l'interface Web
6 Paramètres de la page
7 Définitions
8 Créer votre propre thème
9 Mode Debug
10 Cookies utilisés par Zabbix
11 Fuseaux horaires
13 Resetting password
> Objet Action
action.create
action.delete
action.get
action.update
> Objet Alert
alert.get
apiinfo.version
> Objet Authentification
authentication.get
authentication.update
> Objet Carte
map.create
map.delete
map.get
map.update
configuration.export
configuration.import
configuration.importcompare
> Objet Correspondance d'icône
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Objet Corrélation
correlation.create
correlation.delete
correlation.get
correlation.update
> Objet Déclencheur
trigger.adddependencies
trigger.create
trigger.delete
trigger.deletedependencies
trigger.get
trigger.update
> Objet Élément
item.create
item.delete
item.get
item.update
> Objet Élément de graphique
graphitem.get
> Objet Enregistrement automatique
autoregistration.get
autoregistration.update
> Objet Événement
event.acknowledge
event.get
> Objet Expression régulière
regexp.create
regexp.delete
regexp.get
regexp.update
> Objet Graphique
graph.create
graph.delete
graph.get
graph.update
> Objet Groupe d'hôtes
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> Objet Groupe d'utilisateurs
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Objet Historique
history.clear
history.get
> Objet Hôte
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Objet Hôte découvert
dhost.get
> Objet Image
image.create
image.delete
image.get
image.update
> Objet Interface d'hôte
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Objet Audit log
auditlog.get
> Objet Macro utilisateur
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Objet Maintenance
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Objet Modèle
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Objet Nettoyage
housekeeping.get
housekeeping.update
hanode.get
 > Objet nœud haute disponibilité
> Objet Problème
problem.get
> Objet Prototype d'hôte
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Objet Prototype d'élément
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> Objet Prototype de déclencheur
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Objet Prototype de graphique
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Objet Proxy
proxy.create
proxy.delete
proxy.get
proxy.update
> Objet Rapport
report.create
report.delete
report.get
report.update
> Objet Règle de découverte
drule.create
drule.delete
drule.get
drule.update
> Objet Règle LLD
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Objet Réglages
settings.get
settings.update
> Objet Rôle
role.create
role.delete
role.get
role.update
> Objet Script
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
script.update
> Objet Scenario Web
httptest.create
httptest.delete
httptest.get
httptest.update
> Objet Service
service.create
service.delete
service.get
service.update
> Objet Service découvert
dservice.get
> Objet SLA
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> Objet Tableau de bord
1 Action log
2 Clock
3 Data overview
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Geomap
8 Graph
9 Graph (classic)
10 Graph prototype
11 Host availability
12 Item value
13 Carte
14 Map navigation tree
15 Texte brut
16 Hôtes problématiques
17 Problèmes
18 Problèmes par sévérité
19 SLA report
20 System information
21 Top hosts
22 Trigger overview
23 URL
24 Web monitoring
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Objet Tableau de bord de modèle
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Objet Table de correspondance
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Objet Tendance
trend.get
> Objet Test de découverte
dcheck.get
> Objet Token
token.create
token.delete
token.generate
token.get
token.update
> Objet Type de média
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Objet Tâche
task.create
task.get
> Objet Utilisateur
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.unblock
user.update
Annexe 1. Commentaire de référence
Annexe 2. Changements de 5.4 à 6.0
Modifications de l'API Zabbix dans la version 6.0
20. Modules
1 Création de la base de données
2 Réparation du jeu de caractères et de la collation de la base de données Zabbix
3 Mise à niveau de la base de données vers les clés primaires
1 Configuration du chiffrement MySQL
2 Configuration du chiffrement PostgreSQL
5 Configuration TimescaleDB
6 Configuration d'Elasticsearch
7 Exportation en temps réel des événements, des valeurs des éléments, des tendances
8 Notes spécifiques à la distribution sur la configuration de Nginx pour Zabbix
9 Exécution de l'agent en tant que root
10 Agent Zabbix pour Microsoft Windows
11 Configuration SAML avec Okta
12 Configuration de la base de données Oracle
13 Configuration des rapports planifiés
14 Langues interface Web supplémentaires
1 Serveur Zabbix
2 Proxy Zabbix
3 Zabbix agent (UNIX)
4 Zabbix agent 2 (UNIX)
5 Agent Zabbix (Windows)
6 Agent Zabbix 2 (Windows)
1 Plugin Ceph
2 Plugin Docker
3 Ember+ plugin
3 Plugin Memcached
4 Plugin Modbus
5 Plugin MongoDB
6 Plugin MQTT
7 MSSQL plugin
7 Plugin MySQL
8 Plugin Oracle
9 PostgreSQL plugin
10 Plugin Redis
11 Plugin Smart
8 Passerelle Java Zabbix
9 Web service Zabbix
10 Inclusion
1 Protocole d'échange de données serveur-proxy
2 Protocole de l'agent Zabbix
3 Protocole de l'agent Zabbix 2
4 Protocole du plug-in agent Zabbix 2
5 Protocole d'envoi Zabbix
6 En-tête
7 Protocole d'exportation en temps réel
1 Éléments pris en charge par plate-forme
2 Paramètres vm.memory.size
3 Vérifications passives et actives des agents
4 Éléments Trapper
5 Niveau d'autorisation minimum pour les éléments de l'agent Windows
6 Encodage des valeurs renvoyées
7 Prise en charge des fichiers volumineux
8 Capteur
9 Notes sur le paramètre memtype dans les éléments proc.mem
10 Remarques sur la sélection des processus dans les éléments proc.mem et proc.num
11 Détails d'implémentation des vérifications net.tcp.service et net.udp.service
12 Paramètres de l'interface hôte inaccessibles/indisponibles
13 Surveillance à distance des statistiques Zabbix
14 Configurer Kerberos avec Zabbix
15 Paramètres de modbus.get
16 Création de noms de compteurs de performances personnalisés pour VMware
1 Fonctions Foreach
2 Fonctions binaires
3 Fonctions date et heure
4 Fonctions d'historique
5 Fonctions de tendance
6 Fonctions mathématiques
7 Fonctions opérateur
8 Fonctions prédictives
9 Fonctions de chaîne
1 Macros prises en charge
2 Macros utilisateurs supportées par emplacement
8 Symboles d'unités
9 Syntaxe de période de temps
10 Exécution de commande
11 Compatibilité de version
12 Gestion des erreurs de base de données
13 Librairie de liens dynamiques Zabbix sender pour Windows
14 Mise à niveau de la surveillance des services
14 Python library for Zabbix API
15 Autres problèmes
16 Comparaison agent vs agent 2
18 Escaping examples
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

1 Par certificat

Aperçu

Zabbix peut utiliser des certificats RSA au format PEM, signés par une autorité de certification publique ou interne (CA). La vérification du certificat est effectuée sur une CA de certificat pré-configurée. Les listes de révocation de certificats (CRL) peuvent éventuellement être utilisées. Chaque composant Zabbix ne peut avoir qu'un seul certificat configuré.

Pour plus d'informations sur la configuration et l'utilisation de l'autorité de certification interne, la génération de demandes de certificats et leur signature, la révocation de certificats, vous trouverez en ligne en grand nombre de modes d'emploi, par exemple, Didacticiel OpenSSL PKI v1.1.

Examinez attentivement et testez vos extensions de certificat - voir Limitations sur les extensions de certificat X.509 v3.

Paramètres de configuration du certificat

Paramètre Obligatoire Description
TLSCAFile oui Chemin d'accès complet d'un fichier contenant les certificats de niveau supérieur de l'autorité de certification pour la vérification des certificats homologues.
En cas de chaîne de certificats avec plusieurs membres, ils doivent être ordonnés : certificats de CA de niveau inférieur en premier, suivi par des certificats de niveau supérieur.
Les certificats de plusieurs CA peuvent être inclus dans un seul fichier.
TLSCRLFile non Chemin d'accès complet d'un fichier contenant des listes de révocation de certificats. Voir Listes de révocation de certificats (CRL).
TLSCertFile oui Chemin d'accès complet d'un fichier contenant un certificat (chaîne de certificats).
En cas de chaîne de certificats avec plusieurs membres, ils doivent être ordonnés : certificat de serveur, de proxy ou d'agent en premier, suivi des certificats de niveau inférieur puis des certificats de l'autorité de certification de niveau supérieur.
TLSKeyFile oui Chemin d'accès complet d'un fichier contenant une clé privée. Définissez les droits d’accès à ce fichier - il ne doit être lisible que par l’utilisateur de Zabbix.
TLSServerCertIssuer non Émetteur de certificat de serveur autorisé.
TLSServerCertSubject non Détenteur du certificat de serveur autorisé.

Configuration examples

After setting up the necessary certificates, configure Zabbix components to use certificate-based encryption.

Below are detailed steps for configuring:

Configuration du certificat sur le serveur Zabbix

1. Afin de vérifier les certificats homologues, le serveur Zabbix doit avoir accès aux fichiers avec leurs certificats d'autorité de certification racine auto-signés de niveau supérieur. Par exemple, si nous souhaitons des certificats de deux autorités de certification racine indépendantes, nous pouvons placer leurs certificats dans un fichier /home/zabbix/zabbix_ca_file ainsi :

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ...
       -----BEGIN CERTIFICATE-----
       MIID2jCCAsKgAwIBAgIBATANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ....
       9wEzdN8uTrqoyU78gi12npLj08LegRKjb5hFTVmO
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ....
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ....       
       -----BEGIN CERTIFICATE-----
       MIID3DCCAsSgAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQB
       ...
       vdGNYoSfvu41GQAR5Vj5FnRJRzv5XQOZ3B6894GY1zY=
       -----END CERTIFICATE-----

2. Placer la chaîne de certificats du serveur Zabbix dans un fichier, par exemple, /home/zabbix/zabbix_server.crt :

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix server
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                       ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Digital Signature, Key Encipherment
                   X509v3 Basic Constraints: 
                       CA:FALSE
                   ...
       -----BEGIN CERTIFICATE-----
       MIIECDCCAvCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk
       ...
       h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ==
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 2 (0x2)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE, pathlen:0
               ...
       -----BEGIN CERTIFICATE-----
       MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ...
       dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw==
       -----END CERTIFICATE-----

Ici, le premier est le certificat du serveur Zabbix, suivi du certificat intermédiaire de l'autorité de certification.

3. Placer la clé privée du serveur Zabbix dans un fichier, par exemple, /home/zabbix/zabbix_server.key :

-----BEGIN PRIVATE KEY-----
       MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl
       ...
       IJLkhbybBYEf47MLhffWa7XvZTY=
       -----END PRIVATE KEY-----

4. Modifier les paramètres TLS dans le fichier de configuration du serveur Zabbix comme suit :

TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_server.crt
       TLSKeyFile=/home/zabbix/zabbix_server.key

Configuration du chiffrement par certificat pour le proxy Zabbix

1. Préparez les fichiers avec les certificats de l'autorité de certification de niveau supérieur, le certificat proxy (chaîne) et la clé privée, comme décrit dans Configuration du certificat sur le serveur Zabbix. Modifiez les paramètres TLSCAFile, TLSCertFile, TLSKeyFile dans la configuration du proxy en conséquence.

2. Pour un proxy actif modifier le paramètre TLSConnect :

TLSConnect=cert

Pour un proxy passif modifier le paramètre TLSAccept :

TLSAccept=cert

3. Vous disposez maintenant d'une configuration de proxy minimale basée sur un certificat. Vous pouvez si vous le souhaitez améliorer la sécurité du proxy en définissant les paramètres TLSServerCertIssuer et TLSServerCertSubject (voir Restriction de l'émetteur et du détenteur autorisés).

4. Dans le fichier final de configuration du proxy, les paramètres TLS peuvent ressembler à ceci :

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_proxy.crt
       TLSKeyFile=/home/zabbix/zabbix_proxy.key

5. Configurer le chiffrement pour ce proxy dans l'interface Zabbix :

  • Aller dans : Administration → Proxys
  • Sélectionner un proxy et cliquer sur l'onglet Chiffrement

Dans les exemples ci-dessous, les champs Délivré par et Sujet sont remplis - voir dans Restriction de l'émetteur et du sujet autorisés pourquoi et comment utiliser ces champs.

Pour un proxy actif

proxy_active_cert.png

Pour un proxy passif

proxy_passive_cert.png

Configuration du chiffrement par certificat pour l'agent Zabbix

1. Préparer les fichiers avec les certificats de l'autorité de certification de niveau supérieur, le certificat agent (chaîne) et la clé privée, comme décrit dans Configuration du certificat sur le serveur Zabbix. Modifiez les paramètres TLSCAFile, TLSCertFile, TLSKeyFile dans la configuration de l'agent en conséquence.

2. Pour les surveillances actives, modifier le paramètre TLSConnect :

TLSConnect=cert

Pour les surveillances passives, modifier le paramètreTLSAccept :

TLSAccept=cert

3. Vous disposez maintenant d'une configuration minimale agent basée sur certificat. Vous pouvez si vous le souhaitez améliorer la sécurité des agents en définissant les paramètres TLSServerCertIssuer et TLSServerCertSubject. (voir Restriction de l'émetteur et du sujet autorisés).

4. Dans le fichier final de configuration de l'agent, les paramètres TLS peuvent ressembler à ceci :

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_agentd.crt
       TLSKeyFile=/home/zabbix/zabbix_agentd.key

(L'exemple suppose que l'hôte est surveillé via un proxy, d'où le CN "subject" du certificat positionné sur Zabbix proxy.)

5. Configurer le chiffrement pour cet agent dans l'interface Zabbix :

  • Aller dans : Administration → Hôtes
  • Sélectionner l'agent et cliquer sur l'onglet Chiffrement

Dans l'exemple ci-dessous, les champs Délivré par et Sujet sont remplis - voir dans Restriction de l'émetteur et du sujet autorisés pourquoi et comment utiliser ces champs.

agent_config.png

Zabbix web service

1. Prepare files with the top-level CA certificates, the Zabbix web service certificate/certificate chain, and the private key as described in the Zabbix server section. Then, edit the TLSCAFile, TLSCertFile, and TLSKeyFile parameters in the Zabbix web service configuration file accordingly.

2. Edit an additional TLS parameter in the Zabbix web service configuration file: TLSAccept=cert

TLS parameters in the final web service configuration file may look as follows:

TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_web_service.crt
       TLSKeyFile=/home/zabbix/zabbix_web_service.key

3. Configure Zabbix server to connect to the TLS-configured Zabbix web service by editing the WebServiceURL parameter in the Zabbix server configuration file:

WebServiceURL=https://example.com

Restriction de l'émetteur et du sujet autorisés

Lorsque deux composants (par exemple serveur Zabbix et agent) établissent une connexion TLS, ils vérifient chacun les certificats de l'autre. Si un certificat homologue signé par une autorité de certification de confiance (avec un certificat de niveau supérieur préconfiguré dans «TLSCAFile»), est valide, n'a pas expiré et passe d'autres vérifications, alors la communication peut continuer. L'émetteur et le sujet du certificat ne sont pas vérifiés dans ce cas le plus simple.

Il existe un risque : toute personne possédant un certificat valide peut usurper l'identité de quelqu'un d'autre (par exemple, un certificat d'hôte peut être utilisé pour emprunter l'identité d'un serveur). Cela peut être acceptable dans les petits environnements où les certificats sont signés par une autorité de certification interne dédiée et où le risque de personnification est faible.

Si votre autorité de certification de niveau supérieur est utilisée pour émettre d'autres certificats qui ne doivent pas être acceptés par Zabbix ou si vous souhaitez réduire le risque d'usurpation d'identité, vous pouvez restreindre les certificats autorisés en spécifiant leurs chaînes d'émetteur et de sujet.

Par exemple, vous pouvez écrire dans le fichier de configuration du proxy Zabbix :

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Avec ces paramètres, un proxy actif ne communiquera pas avec le serveur Zabbix avec une chaîne émettrice ou une chaîne sujet différente dans le certificat, un proxy passif n'acceptera pas les demandes de ce serveur.

Quelques notes sur la correspondance de chaîne émetteur ou sujet :

  1. Les chaînes émetteur et sujet sont vérifiées indépendamment. Les deux sont facultatives.
  2. Les caractères UTF-8 sont autorisés.
  3. Une chaîne non spécifiée signifie que toute chaîne est acceptée.
  4. Les chaînes sont comparées "telles quelles", elles doivent être exactement identiques pour correspondre.
  5. Les caractères génériques et les expressions régulièresne sont pas pris en charge dans la correspondance.
  6. Seules certaines exigences de la RFC 4514 Lightweight Directory Access Protocol (LDAP) : Représentation de chaîne des noms distinctifs sont implémentées :
    1. caractères d'échappement '"' (U+0022), '+' U+002B, ',' U+002C, ';' U+003B, '<' U+003C, '>' U+003E, '' U+005C n'importe où dans la chaîne.
    2. caractères d'échappement (' ' U+0020) ou le signe dièse ('#' U+0023) au début de la chaîne.
    3. caractères d'échappement (' ' U+0020) à la fin de la chaîne.
  7. La correspondance échoue si un caractère nul (U+0000) est rencontré (La [[http://tools.ietf.org/html/rfc4514|RFC 4514]] le permet).
  8. Les exigences de la [[http://tools.ietf.org/html/rfc4517|RFC 4517 Lightweight Directory Access Protocol (LDAP) : Syntaxes et règles de correspondance]] et de la [[http://tools.ietf.org/html/rfc4518|RFC 4518 Lightweight Directory Access Protocol (LDAP) : Préparation de chaînes internationalisées]] ne sont pas pris en charge en raison de la quantité de travail requise.

L'ordre des champs dans les chaînes Délivrer par et Sujet et le formatage sont importants ! Zabbix suit les recommandations de la RFC 4514 et utilise l'ordre "inverse" des champs.

L'ordre inverse peut être illustré par l'exemple suivant :

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Notez qu'il commence par le niveau bas (CN), passe au niveau intermédiaire (OU, O) et termine par les champs de niveau supérieur (DC).

OpenSSL affiche par défaut les champs Issuer et Subject du certificat dans l'ordre "normal", en fonction des options supplémentaires utilisées :

$ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject
       issuer= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Signing CA
       subject= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Zabbix proxy
       
       $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt
       Certificate:
               ...
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
           ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix proxy

Ici, les chaînes Issuer et Subject commencent par le niveau supérieur (DC) et se terminent par un champ de bas niveau (CN), les espaces et les séparateurs de champs dépendent des options utilisées. Aucune de ces valeurs ne correspondra dans les champs Délivré et Sujet de Zabbix !

Pour obtenir des chaînes Issuer et Subject correctes utilisables dans Zabbix, exécutez OpenSSL avec les options spéciales
-nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname :

$ openssl x509 -noout -issuer -subject \
               -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname \
               -in /home/zabbix/zabbix_proxy.crt
       issuer= CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       subject= CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Maintenant, les champs de chaînes sont dans l'ordre inverse, les champs sont séparés par des virgules, peuvent être utilisés dans les fichiers de configuration et l'interface Zabbix.

Rules for matching Issuer and Subject strings

The rules for matching Issuer and Subject strings are as follows:

  • Issuer and Subject strings are checked independently. Both are optional.
  • An unspecified string means that any string is accepted.
  • Strings are compared as is and must match exactly.
  • UTF-8 characters are supported. However, wildcards (*) or regular expressions are not supported.
  • The following RFC 4514 requirements are implemented - characters that require escaping (with a '\' backslash, U+005C):
    • anywhere in the string: '"' (U+0022), '+' (U+002B), ',' (U+002C), ';' (U+003B), '<' (U+003C), '>' (U+003E), '\\' (U+005C);
    • at the beginning of the string: space (' ', U+0020) or number sign ('#', U+0023);
    • at the end of the string: space (' ', U+0020).
  • Null characters (U+0000) are not supported. If a null character is encountered, the matching will fail.
  • RFC 4517 and RFC 4518 standards are not supported.

For example, if Issuer and Subject organization (O) strings contain trailing spaces and the Subject organizational unit (OU) string contains double quotes, these characters must be escaped:

TLSServerCertIssuer=CN=Signing CA,OU=Development head,O=\ Example SIA\ ,DC=example,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group \"5\",O=\ Example SIA\ ,DC=example,DC=com
Field order and formatting

Zabbix follows the recommendations of RFC 4514, which specifies a "reverse" order for these fields, starting with the lowest-level fields (CN), proceeding to the mid-level fields (OU, O), and concluding with the highest-level fields (DC).

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

In contrast, OpenSSL by default displays the Issuer and Subject strings in top-level to low-level order. In the following example, Issuer and Subject fields start with the top-level (DC) and end with the low-level (CN) field. The formatting with spaces and field separators also varies based on the options used, and thus will not match the format required by Zabbix.

$ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject
       issuer= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Signing CA
       subject= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Zabbix proxy
       
       $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt
       Certificate:
           ...
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix proxy

To format Issuer and Subject strings correctly for Zabbix, invoke OpenSSL with the following options:

$ openssl x509 -noout -issuer -subject \
           -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname\
           -in /home/zabbix/zabbix_proxy.crt

The output will then be in reverse order, comma-separated, and usable in Zabbix configuration files and frontend:

issuer= CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       subject= CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Limitations sur les extensions de certificat X.509 v3

  • Extension Nom de sujet alternatif (subjectAltName).
    Les noms de sujet alternatifs de l'extension subjectAltName (comme adresse IP, adresse e-mail) ne sont pas supportés par Zabbix. Seule la valeur du champ "Sujet" peut être vérifiée dans Zabbix (voir Restriction de l'émetteur et du sujet autorisés).
    Si un certificat utilise l'extension subjectAltName alors le résultat dépendra d'une combinaison particulière des kits d'outils cryptographiques avec lesquels les composants Zabbix sont compilés (cela peut fonctionner ou pas, Zabbix peut refuser d'accepter de tels certificats de ses pairs).
  • Extension Utilisation de clé étendue.
    Si utilisé alors les deux paramètres clientAuth (Authentification du client WWW TLS) et serverAuth (Authentification du serveur WWW TLS) sont généralement nécessaires.
    Par exemple, dans les vérifications passives, l'agent Zabbix joue un rôle de serveur TLS, ainsi serverAuth doit être défini dans le certificat de l'agent. Pour les vérifications actives, le certificat de l'agent nécessite de définir clientAuth.
    GnuTLS émet un avertissement en cas de violation de l'utilisation de la clé, mais autorise la communication.
  • Extension Contraintes de nom.
    Toutes les boîtes à outils cryptographiques ne le prennent pas en charge. Cette extension peut empêcher Zabbix de charger des certificats CA pour lequels cette section est marquée comme critical (dépend du toolkit crypto).

Listes de révocation de certificats (CRL)

Si un certificat est compromis, l'autorité de certification peut la révoquer en l'incluant dans la liste de révocation de certificats. Les listes de révocation de certificats peuvent être configurées dans le fichier de configuration du serveur, du proxy et de l'agent à l'aide du paramètre TLSCRLFile. Par exemple :

TLSCRLFile=/home/zabbix/zabbix_crl_file

zabbix_crl_file peut contenir des listes de révocation de certificats de plusieurs autorités de certification et ressembler à :

-----BEGIN X509 CRL-----
       MIIB/DCB5QIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixkARkWA2Nv
       ...
       treZeUPjb7LSmZ3K2hpbZN7SoOZcAoHQ3GWd9npuctg=
       -----END X509 CRL-----
       -----BEGIN X509 CRL-----
       MIIB+TCB4gIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQBGRYDY29t
       ...
       CAEebS2CND3ShBedZ8YSil59O6JvaDP61lR5lNs=
       -----END X509 CRL-----

Le fichier CRL est chargé uniquement au démarrage de Zabbix. La mise à jour de la liste de révocation de certificats nécessite un redémarrage.

Si le composant Zabbix est compilé avec OpenSSL et que des listes de révocation de certificats sont utilisées, chaque autorité de certification de niveau supérieur et intermédiaire des chaînes de certificats doit avoir une liste de révocation de certificats (elle peut être vide) dans TLSCRLFile.

© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy