Documentation

This is a translation of the original English documentation page. Help us make it better.
1 マニュアルの構成
2 Zabbixとは
3 Zabbixの機能
4 Zabbixの概要
5 Zabbix 6.0.0 の新機能
6 Zabbix 6.0.1 の新機能
7 Zabbix 6.0.2 の新機能
8 Zabbix 6.0.3 の新機能
9 Zabbix 6.0.4 の新機能
10 Zabbix 6.0.5 の新機能
11 Zabbix 6.0.6 の新機能
12 Zabbix 6.0.7 の新機能
13 Zabbix 6.0.8 の新機能
14 Zabbix 6.0.9 の新機能
15 Zabbix 6.0.10 の新機能
16 Zabbix 6.0.11 の新機能
17 Zabbix 6.0.12 の新機能
18 Zabbix 6.0.13 の新機能
19 Zabbix 6.0.14 の新機能
20 Zabbix 6.0.15 の新機能
21 Zabbix 6.0.16 の新機能
22 Zabbix 6.0.17 の新機能
23 Zabbix 6.0.18 の新機能
24 Zabbix 6.0.19 の新機能
25 Zabbix 6.0.20 の新機能
26 Zabbix 6.0.21 の新機能
27 Zabbix 6.0.22 の新機能
28 Zabbix 6.0.23 の新機能
29 Zabbix 6.0.24 の新機能
30 Zabbix 6.0.25 の新機能
31 Zabbix 6.0.26 の新機能
32 Zabbix 6.0.27 の新機能
33 Zabbix 6.0.28 の新機能
34 Zabbix 6.0.29 の新機能
35 Zabbix 6.0.30 の新機能
36 Zabbix 6.0.31 の新機能
37 Zabbix 6.0.32 の新機能
38 Zabbix 6.0.33 の新機能
39 Zabbix 6.0.34 の新機能
40 Zabbix 6.0.35 の新機能
41 Zabbix 6.0.36 の新機能
2. 定義
1 高可用性(HA)
2 Zabbixエージェント
3 Zabbixエージェント2
4 Zabbixプロキシ
1 ソースからのセットアップ
2 RHELパッケージでのセットアップ
3 Debian/Ubuntuパッケージでのセットアップ
6 zabbix_senderコマンド
7 zabbix_getコマンド
8 zabbix_jsコマンド
9 Zabbix Webサービス
1 Zabbixの入手
1 PostgreSQLプラグインの依存関係
2 MongoDBプラグインの依存関係
概要
1 WindowsでのZabbixエージェントのビルド
2 WindowsでのZabbixエージェント2のビルド
3 macOSでのZabbixエージェントのビルド
1 Red Hat Enterprise Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise Server
4 MSIでWindowsエージェントのインストール
5 PKGでMacOSエージェントのインストール
6 不安定版リリース
5 コンテナでのインストール
1 Debian/UbuntuのWebインターフェースのインストール
1 ソースからのアップグレード
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
1 コンパイルの問題
9 テンプレートの変更点
10 6.0.0へアップグレード時の注意点
11 6.0.1へアップグレード時の注意点
12 6.0.2へアップグレード時の注意点
13 6.0.3へアップグレード時の注意点
14 6.0.4へアップグレード時の注意点
15 6.0.5へアップグレード時の注意点
16 6.0.6へアップグレード時の注意点
17 6.0.7へアップグレード時の注意点
18 6.0.8へアップグレード時の注意点
19 6.0.9へアップグレード時の注意点
20 6.0.10へアップグレード時の注意点
21 6.0.11へアップグレード時の注意点
22 6.0.12へアップグレード時の注意点
23 6.0.13へアップグレード時の注意点
24 6.0.14へアップグレード時の注意点
25 6.0.15へアップグレード時の注意点
26 6.0.16へアップグレード時の注意点
27 6.0.17へアップグレード時の注意点
28 6.0.18へアップグレード時の注意点
29 6.0.19へアップグレード時の注意点
30 6.0.20へアップグレード時の注意点
31 6.0.21へアップグレード時の注意点
32 6.0.22へアップグレード時の注意点
33 6.0.23へアップグレード時の注意点
34 6.0.24へアップグレード時の注意点
35 6.0.25へアップグレード時の注意点
36 6.0.26へアップグレード時の注意点
37 6.0.27へアップグレード時の注意点
38 6.0.28へアップグレード時の注意点
39 6.0.29へアップグレード時の注意点
40 6.0.30へアップグレード時の注意点
41 6.0.31へアップグレード時の注意点
42 6.0.32へアップグレード時の注意点
43 6.0.33へアップグレード時の注意点
44 6.0.34へアップグレード時の注意点
45 6.0.35へアップグレード時の注意点
46 6.0.36へアップグレード時の注意点
1 ログインとユーザー設定
2 新規ホスト
3 新規アイテム
4 新規トリガー
5 障害発生の通知
6 新規テンプレート
6. Zabbixアプライアンス
1 ホストの設定
2 インベントリ
3 一括アップデート
1 アイテムキーのフォーマット
2 監視間隔のカスタマイズ
1 使用例
2 保存前処理の詳細
1 JSONPathのLLDマクロ値からの特殊文字のエスケープ
1 追加のJavaScriptオブジェクト
5 CSVからJSONへのプリプロセス
1 Zabbixエージェント2固有のアイテムキー
2 Windows固有のアイテムキー
1 ダイナミックインデックス
2 特殊なOID
3 MIB ファイル
3 SNMP trap
4 IPMIチェック
1 VMware監視アイテムキー
6 ログファイル監視
1 集計計算
8 内部チェック
9 SSH チェック
10 Telnetチェック
11 外部チェック
12 トラッパーアイテム
13 JMX 監視
1 MySQLの推奨UnixODBC設定
2 PostgreSQLの推奨UnixODBC設定
3 Oracleの推奨UnixODBC設定
4 MSSQLの推奨UnixODBC設定
15 依存アイテム
16 HTTPエージェント
17 Prometheus チェック
18 スクリプト
4 ヒストリとトレンド
1 Zabbixエージェントの機能拡張
6 ローダブルモジュール
7 Windows パフォーマンスカウンタ
8 一括アップデート
9 値のマッピング
10 キュー
11 値のキャッシュ
12 即時実行
13 エージェントチェックの制限
1 ローダブルプラグインのビルド
1 トリガーの設定
2 トリガー条件式
3 トリガーの依存関係
4 トリガーの深刻度
5 トリガーの深刻度のカスタマイズ
6 一括アップデート
7 予測トリガー関数
1 トリガーイベントの生成
2 その他のイベントソース
3 問題の手動クローズ
1 トリガーによるイベント相関
2 グローバルイベント相関
6 タグ付け
1 シンプルグラフ
2 カスタムグラフ
3 アドホックグラフ
4 グラフの集計
1 ネットワークマップの設定
2 ホストグループの構成要素
3 リンクインジケーター
3 ダッシュボード
4 ホストダッシュボード
1 テンプレートの設定
2 リンク作成/リンク削除
3 ネスト
4 一括更新
1 Zabbixエージェントテンプレートの操作
2 Zabbixエージェント2テンプレートの操作
3 HTTPテンプレートの操作
4 IPMIテンプレートの操作
5 JMXテンプレートの操作
6 ODBCテンプレートの操作
7 ネットワークデバイス用の標準テンプレート
1 E-mail
2 SMS
3 カスタムアラートスクリプト
1 Webhookスクリプトの例
1 アクション
1 メッセージの送信
2 リモートコマンド
3 追加操作
4 メッセージでのマクロ使用
3 復旧時実行
4 更新時実行
5 エスカレーション
3 サポート対象外通知の受信
1 マクロ関数
2 ユーザーマクロ
3 コンテキストユーザーマクロ
4 ローレベルディスカバリマクロ
5 式マクロ
1 ユーザの設定
2 ユーザー権限
3 ユーザグループ
13 secrets の保存
14 定期レポート
1 サービスツリー
2 サービスアクション
3 SLA
4 セットアップ例
1 Web監視アイテム
2 シナリオの実例
1 仮想マシンディスカバリキーフィールド
11. メンテナンス
12. 正規表現
13. 障害イベントの確認
1 ホストグループ
2 テンプレート
3 ホスト
4 ネットワークマップ
5 メディアタイプ
1 ネットワークディスカバリルールの設定
2 アクティブエージェントの自動登録
1 アイテムのプロトタイプ
2 トリガーのプロトタイプ
3 グラフのプロトタイプ
4 ローレベルディスカバリにおける注意点
1 ファイルシステムマウントの検出
2 ネットワークインターフェースの検出
3 CPUとCPUコアの検出
4 SNMP OIDsの検出
5 JMXオブジェクトの検出
6 IPMIセンサーの検出
7 systemdサービスの検出
8 Windowsサービスの検出
9 Windowsパフォーマンスカウンターインスタンスの検出
10 WMIクエリを使用した検出
11 ODBC SQLクエリを使用した検出
12 Prometheusデータを使用した検出
13 ブロックデバイスの検出
14 Zabbixでのホストインターフェース検出
6 カスタムLLDルール
1 プロキシ
1 証明書の利用
2 事前共有鍵の使用
1 接続タイプまたは権限の問題
2 証明書の問題
3 PSKの問題
1 メニュー
1 アクションログ
2 時刻
3 データの概要
4 ディスカバリのステータス
5 お気に入りのグラフ
6 お気に入りのマップ
7 地理マップ
8 グラフ
9 グラフ(クラシック)
10 グラフのプロトタイプ
11 ホスト稼働状況
12 アイテムの値
13 マップ
14 マップナビゲーション
15 プレーンテキスト
16 障害中のホスト
17 障害
18 深刻度ごとの障害数
19 SLAレポート
20 システム情報
21 上位ホスト
22 トリガーの概要
23 URL
24 Web監視
2 障害
1 グラフ
2 Webシナリオ
4 最新データ
5 マップ
6 ディスカバリ
1 サービス
2 サービスアクション
3 SLA
4 SLAレポート
1 概要
2 ホスト
1 システム情報
2 定期レポート
3 稼働レポート
4 障害発生数上位100項目
5 監査
6 アクションログ
7 通知レポート
1 ホストグループ
1 アイテム
2 トリガー
3 グラフ
1 アイテムのプロトタイプ
2 トリガーのプロトタイプ
3 グラフのプロトタイプ
4 ホストのプロトタイプ
5 Webシナリオ
1 アイテム
2 トリガー
3 グラフ
1 アイテムのプロトタイプ
2 トリガーのプロトタイプ
3 グラフのプロトタイプ
4 ホストのプロトタイプ
5 Web シナリオ
4 メンテナンス
5 アクション
6 イベント相関関係
7 ディスカバリ
1 一般設定
2 プロキシ
3 認証
4 ユーザーグループ
5 ユーザーの役割
6 ユーザー
7 メディアタイプ
8 スクリプト
9 キュー
1 グローバル通知
2 ブラウザのサウンド
4 グローバルサーチ
5 フロントエンドメンテナンスモード
6 ページパラメーター
7 定義
8 独自テーマ作成
9 デバッグモード
10 Zabbix用Cookie
11 タイムゾーン
12 パスワードのリセット
> Actionオブジェクト
action.create
action.delete
action.get
action.update
> Alertオブジェクト
alert.get
apiinfo.version
> Audit logオブジェクト
auditlog.get
> Authenticationオブジェクト
authentication.get
authentication.update
> Autoregistrationオブジェクト
autoregistration.get
autoregistration.update
configuration.export
configuration.import
configuration.importcompare
> Correlationオブジェクト
correlation.create
correlation.delete
correlation.get
correlation.update
> Dashboardオブジェクト
1 Action log
2 Clock
3 Data overview
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Geomap
8 Graph
9 Graph (classic)
10 Graph prototype
11 Host availability
12 Item value
13 Map
14 Map navigation tree
15 Plain text
16 Problem hosts
17 Problems
18 Problems by severity
19 SLA report
20 System information
21 Top hosts
22 Trigger overview
23 URL
24 Web monitoring
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Discovered hostオブジェクト
dhost.get
> Discovered serviceオブジェクト
dservice.get
> Discovery checkオブジェクト
dcheck.get
> Discovery ruleオブジェクト
drule.create
drule.delete
drule.get
drule.update
> Eventオブジェクト
event.acknowledge
event.get
> Graphオブジェクト
graph.create
graph.delete
graph.get
graph.update
> Graph itemオブジェクト
graphitem.get
> Graph prototypeオブジェクト
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> High availability nodeオブジェクト
hanode.get
> Historyオブジェクト
history.clear
history.get
> Hostオブジェクト
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Host groupオブジェクト
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> Host interfaceオブジェクト
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Host prototypeオブジェクト
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Housekeepingオブジェクト
housekeeping.get
housekeeping.update
> Icon mapオブジェクト
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Imageオブジェクト
image.create
image.delete
image.get
image.update
> Itemオブジェクト
item.create
item.delete
item.get
item.update
> Item prototypeオブジェクト
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> LLD ruleオブジェクト
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Maintenanceオブジェクト
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Mapオブジェクト
map.create
map.delete
map.get
map.update
> Media typeオブジェクト
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Problem object
problem.get
> Proxyオブジェクト
proxy.create
proxy.delete
proxy.get
proxy.update
> Regular expressionオブジェクト
regexp.create
regexp.delete
regexp.get
regexp.update
> Reportオブジェクト
report.create
report.delete
report.get
report.update
> Roleオブジェクト
role.create
role.delete
role.get
role.update
> Scriptオブジェクト
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
script.update
> Serviceオブジェクト
service.create
service.delete
service.get
service.update
> Settingsオブジェクト
settings.get
settings.update
> SLAオブジェクト
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> Taskオブジェクト
task.create
task.get
> Templateオブジェクト
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Template dashboardオブジェクト
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Tokenオブジェクト
token.create
token.delete
token.generate
token.get
token.update
> Trendオブジェクト
trend.get
> Triggerオブジェクト
trigger.adddependencies
trigger.create
trigger.delete
trigger.deletedependencies
trigger.get
trigger.update
> Trigger prototypeオブジェクト
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Userオブジェクト
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.unblock
user.update
> User groupオブジェクト
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> User macroオブジェクト
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Value mapオブジェクト
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Web scenarioオブジェクト
httptest.create
httptest.delete
httptest.get
httptest.update
Zabbix APIの6.0での変更点
付録1. 参考文献の解説
付録2.5.4から6.0での変更点
20. モジュール
1 データベースの作成
2 Zabbixデータベースのキャラクターセットと照合の修正
3 データベースの主キーのアップグレード
1 MySQLの暗号化設定
2 PostgreSQLの暗号化設定
5 TimescaleDBのセットアップ
6 Elasticsearch のセットアップ
7 イベント、アイテム値、トレンドのリアルタイムエクスポート
8 Zabbix用Nginxのセットアップに関するディストリビューション固有の注意事項
9 rootユーザーでのエージェントの実行
10 Microsoft Windows上のZabbixエージェント
11 Oktaを使用したSAMLセットアップ
12 Oracleデータベースセットアップ
13 定期レポートの設定
14 フロントエンドへの言語追加
1 Zabbix サーバー
2 Zabbix プロキシ
3 Zabbix エージェント (UNIX)
4 Zabbix エージェント 2 (UNIX)
5 Zabbix エージェント (Windows)
6 Zabbix エージェント 2 (Windows)
1 Ceph プラグイン
2 Docker プラグイン
3 Ember+ plugin
4 Memcachedプラグイン
5 Modbusプラグイン
6 MongoDBプラグイン
7 MQTTプラグイン
8 MSSQLプラグイン
9 MySQLプラグイン
10 Oracleプラグイン
11 PostgreSQLプラグイン
12 Redisプラグイン
13 Smartプラグイン
8 Zabbix Java ゲートウェイ
9 Zabbix Webサービス
10 インクルード
1 サーバープロキシデータ交換プロトコル
2 Zabbix エージェントのプロトコル
3 Zabbix エージェント 2 プロトコル
4 Zabbixエージェント2プラグインプロトコル
5 Zabbix sender プロトコル
6 ヘッダー
7 リアルタイムエクスポートプロトコル
1 各プラットフォームでサポートされているアイテム
2 vm.memory.size パラメーター
3 パッシブおよびアクティブ エージェント チェック
4 トラッパーアイテム
5 Windowsエージェントアイテムの最小アクセス許可レベル
6 戻り値のエンコード
7 ラージファイルサポート
8 センサー
9 proc.memアイテムのmemtypeパラメーターに関する注記
10 proc.memおよびproc.numアイテムでのプロセスの選択に関する注記
11 net.tcp.serviceおよびnet.udp.serviceチェックの実装の詳細
12 到達不能または使用不可のホストインターフェイス設定
13 Zabbix統計のリモートモニタリング
14 Zabbixを使用したKerberosの設定
15 modbus.getパラメーター
16 VMware のカスタム パフォーマンス カウンター名作成
1 Foreach 関数
2 Bitwise functions
3 日時関数
4 ヒストリ関数
5 トレンド関数
6 数学関数
7 オペレーター関数
8 予測関数
9 文字列関数
1 サポートされているマクロ
2 ロケーションでサポートされているユーザーマクロ
8 単位と記号
9 日時フォーマット
10 コマンドの実行
11 バージョン間の互換性
12 データベースエラーハンドリング
13 Windows用のZabbix sender ダイナミックリンクライブラリ
14 Zabbix APIのPythonライブラリ
15 サービス監視のアップグレード
16 その他の問題
17 Agent と agent 2 の比較
17 エスケープの例
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

1 証明書の利用

概要

Zabbix では、公開または社内CAによって署名されたPEM形式のRSA証明書を使用することができます。
証明書の検証は、事前に設定されたCA証明書と照合します。オプションとして、証明書リボケーションリスト(CRL)を
使用することができます。
各Zabbixコンポーネントに設定できる証明書は1つだけです。

内部CAの設定と操作方法、証明書要求の生成と署名方法、証明書の失効方法の詳細については、
[OpenSSL PKI Tutorial v1.1] (http://pki-tutorial.readthedocs.org/en/latest/) などのオンラインHowToを参照してください。

証明書の拡張を慎重に検討し、テストしてください。
Limitations on using X.509 v3 certificate extensions を参照してください。

証明書の設定パラメータ

パラメータ 必須 説明
TLSCAFile * ピア証明書検証用の最上位 CA(s) 証明書を含むファイルのフル パス名。
複数のメンバーを持つ証明書チェーンの場合は、それらを順序付ける必要があります。最初に下位レベルの CA 証明書、次に上位レベルの CA(s) の証明書が続きます。
複数のCA(s)からの証明書を 1 つのファイルに纏めることができます。
TLSCRLFile 証明書失効リストを含むファイルのフル パス名。 証明書失効リスト (CRL) の注釈を参照してください。
TLSCertFile * 証明書 (証明書チェーン) を含むファイルのフル パス名。
複数のメンバーを持つ証明書チェーンの場合、最初にサーバー、プロキシ、またはエージェントの証明書、次に下位レベルの CA 証明書、次に上位レベルの CA(s)証明書の順に並べる必要があります。
TLSKeyFile * 秘密鍵を含むファイルのフル パス名。このファイルはZabbix ユーザーだけが読み取れるようにアクセス権を設定する必要があります。
TLSServerCertIssuer 許可されたサーバー証明書の発行者。
TLSServerCertSubject 許可されたサーバー証明書のサブジェクト。

Configuration examples

After setting up the necessary certificates, configure Zabbix components to use certificate-based encryption.

Below are detailed steps for configuring:

Zabbixサーバでの証明書設定

1. 相手の証明書を検証するために、Zabbixサーバは相手のトップレベルの自己署名付きルートCA証明書のファイルに
アクセスする必要があります。例えば、2つの独立したルートCAからの証明書が必要な場合、これらの証明書を
以下のようにファイル /home/zabbix/zabbix_ca_file に格納します:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ...
       -----BEGIN CERTIFICATE-----
       MIID2jCCAsKgAwIBAgIBATANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ....
       9wEzdN8uTrqoyU78gi12npLj08LegRKjb5hFTVmO
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ....
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ....       
       -----BEGIN CERTIFICATE-----
       MIID3DCCAsSgAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQB
       ...
       vdGNYoSfvu41GQAR5Vj5FnRJRzv5XQOZ3B6894GY1zY=
       -----END CERTIFICATE-----

2. Zabbixサーバ証明書チェーンをファイル(例:/home/zabbix/zabbix_server.crt)に格納します:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix server
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                       ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Digital Signature, Key Encipherment
                   X509v3 Basic Constraints: 
                       CA:FALSE
                   ...
       -----BEGIN CERTIFICATE-----
       MIIECDCCAvCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk
       ...
       h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ==
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 2 (0x2)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE, pathlen:0
               ...
       -----BEGIN CERTIFICATE-----
       MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ...
       dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw==
       -----END CERTIFICATE-----

ここでは、最初にZabbix server 証明書、その後に中間CA証明書を掲載しています。

3. Zabbix server の秘密鍵をファイル(例: /home/zabbix/zabbix_server.key) に格納します:

-----BEGIN PRIVATE KEY-----
       MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl
       ...
       IJLkhbybBYEf47MLhffWa7XvZTY=
       -----END PRIVATE KEY-----

4. Zabbixサーバ設定ファイルのTLSパラメータを以下のように編集してください:

TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_server.crt
       TLSKeyFile=/home/zabbix/zabbix_server.key

Zabbix proxy における証明書ベースの暗号化設定

1. Zabbixサーバの証明書設定(/manual/encryption/using_certificates#configuring_certificate_on_zabbix_server)に従って、
トップレベルCA証明書、proxy 証明書(チェーン)、秘密鍵のファイルを準備します。
proxy 設定のパラメータ TLSCAFileTLSCertFileTLSKeyFile を適宜編集してください。

2. アクティブ proxy は、TLSConnect パラメータを編集してください:

TLSConnect=cert

パッシブ proxy では、TLSAccept パラメータを編集します:

TLSAccept=cert

3. これで最小限の証明書ベースのプロキシ設定ができました。TLSServerCertIssuerTLSServerCertSubject パラメータを
設定して、プロキシのセキュリティを向上させることもできます (参照 Restricting allowed certificate Issuer and Subject).

4. 最終的なプロキシ設定ファイルでは、TLSパラメータは次のようになります:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_proxy.crt
       TLSKeyFile=/home/zabbix/zabbix_proxy.key

5. Zabbixフロントエンドでこの proxy の暗号化を設定します:

  • Administration → Proxies に移動します。
  • proxy を選択し、Encryption タブをクリックします

以下の例では、Issuer と Subject のフィールドに入力されています。
[Restricting allowed certificate Issuer and Subject] (/manual/encryption/using_certificates#restricting_allowed_certificate_issuer_and_subject) を参照してください。
これらのフィールドを使用する理由と方法について説明します。

アクティブ proxy

proxy_active_cert.png

パッシブ proxy

proxy_passive_cert.png

Zabbix agent の証明書ベースの暗号化設定

1. トップレベルCA証明書、agent 証明書(チェーン)、秘密鍵のファイルを準備します。 Configuring certificate on Zabbix server の説明に従って、トップレベルのCA証明書(チェーン)と秘密鍵のファイルを準備します。
それに応じて、agent 設定のパラメータ TLSCAFileTLSCertFileTLSKeyFile を編集してください。

2. アクティブチェックのために、TLSConnectパラメータを編集してください:

TLSConnect=cert

パッシブチェックのためには、TLSAccept パラメータを編集してください:

TLSAccept=cert

3. これで、最小限の証明書ベースのエージェント設定ができました。TLSServerCertIssuerTLSServerCertSubject
パラメータを設定することで、エージェントのセキュリティを向上させることができます。
(Restricting allowed certificate Issuer and Subject を参照してください).

4. 最終的なエージェント設定ファイルでは、TLSパラメータは以下のようになります:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_agentd.crt
       TLSKeyFile=/home/zabbix/zabbix_agentd.key

(この例では、proxy 経由でホストを監視しているため、proxy 証明書の Subject を想定しています)

5. Zabbixフロントエンドでこの agent の暗号化を設定します:

  • Configuration → Hosts に移動します。
  • ホストを選択し、Encryption タブをクリックします。

以下の例では、IssuerとSubjectフィールドが入力されています。
これらのフィールドを使用する理由と方法は、[Restricting allowed certificate Issuer and Subject (/manual/encryption/using_certificates#restricting_allowed_certificate_issuer_and_subject)を参照してください。

agent_config.png

Zabbix web service

1. Prepare files with the top-level CA certificates, the Zabbix web service certificate/certificate chain, and the private key as described in the Zabbix server section. Then, edit the TLSCAFile, TLSCertFile, and TLSKeyFile parameters in the Zabbix web service configuration file accordingly.

2. Edit an additional TLS parameter in the Zabbix web service configuration file: TLSAccept=cert

TLS parameters in the final web service configuration file may look as follows:

TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_web_service.crt
       TLSKeyFile=/home/zabbix/zabbix_web_service.key

3. Configure Zabbix server to connect to the TLS-configured Zabbix web service by editing the WebServiceURL parameter in the Zabbix server configuration file:

WebServiceURL=https://example.com

許可された証明書の発行者とサブジェクトを制限する

2 つの Zabbix コンポーネント (サーバーとエージェントなど) が TLS 接続を確立すると、両者は互いの証明書をチェックします。 ピア証明書が信頼できる CA によって署名されている場合 (TLSCAFile に最上位の証明書が事前構成されている場合)、有効で、有効期限が切れておらず、他のチェックに合格すると、通信を続行できます。 この最も単純なケースでは、証明書の発行者とサブジェクトはチェックされません。

これにはリスクがあり、有効な証明書を持っている人なら誰でも、他の人になりすますことができます (たとえば、ホスト証明書を使用してサーバーになりすますことが可能)。 これは証明書が専用の社内 CA によって署名され、なりすましのリスクが低い小規模な環境では許容される場合があります。

トップレベルの CA が、Zabbix によって受け入れられない他の証明書の発行に使用されている場合、またはなりすましのリスクを軽減したい場合は、発行者とサブジェクトの文字列を指定して、許可される証明書を制限できます。

たとえばZabbix プロキシ構成ファイルに次のように記述します。

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

これらの設定では、アクティブ プロキシは証明書の異なる発行者またはサブジェクト文字列を持つ Zabbix サーバーと通信しません。パッシブ プロキシはそのようなサーバーからの要求を受け入れません。

発行者または件名の文字列の一致に関するいくつかの注意事項:

  1. 発行者と件名の文字列は個別にチェックされます。 どちらもオプションです。
  2. UTF-8 文字を使用できます。
  3. 文字列が指定されていない場合、任意の文字列が受け入れられます。
  4. 文字列は"そのまま"比較されます。一致するにはまったく同じでなければなりません。
  5. 一致では、ワイルドカードと正規表現はサポートされていません。
  6. RFC 4514 Lightweight Directory Access Protocol (LDAP): String Representation of Distinguished Namesの一部要件のみが実装されています。
    1. 任意の場所のエスケープ文字 '"' (U+0022)、'+' U+002B、',' U+002C、';'U+003B、'<' U+003C、'>' U+003E、'\' U+005C
    2. 文字列の先頭にあるエスケープ文字スペース (' ' U+0020) または番号記号 ('#'U+0023)
    3. 文字列の末尾のエスケープ文字スペース (' ' U+0020)
  7. null 文字 (U+0000) が検出された場合、一致は失敗します (RFC4514 で許可されています)
  8. RFC 4517 Lightweight Directory Access Protocol (LDAP): Syntaxes and Matching Rules および RFC 4518 Lightweight Directory Access Protocol (LDAP): Internationalized String Preparation は、多くの作業が必要なためサポートされていません。

Issuer および Subject 文字列のフィールドの順序とフォーマットは重要です。 Zabbix は RFC4514 の推奨に従い、フィールドの"逆"順を使用します。

逆順例:

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

低レベル (CN) で始まり、中レベル (OU、O) に進み、最上位 (DC) フィールドで終わることに注意してください。

OpenSSL では、使用する追加オプションに応じて、デフォルトで証明書の発行者フィールドとサブジェクト フィールドが"通常の"順序で表示されます。

$ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject
       issuer= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Signing CA
       subject= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Zabbix proxy
       
       $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt
       Certificate:
               ...
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
           ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix proxy

ここで、発行者とサブジェクトの文字列はトップレベル (DC) で始まり、ローレベル (CN) フィールドで終わります。スペースとフィールド区切り文字は、使用するオプションによって異なります。 これらの値はいずれも、Zabbix 発行者フィールドとサブジェクト フィールドで一致しません!

Zabbix で使用できる適切な発行者と件名の文字列を取得するには、特別なオプションを指定して OpenSSL を呼び出します
-nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname:

$ openssl x509 -noout -issuer -subject \
               -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname \
               -in /home/zabbix/zabbix_proxy.crt
       issuer= CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       subject= CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

文字列フィールドが逆順になり、フィールドがカンマで区切られ、Zabbix 構成ファイルとフロントエンドで使用できるようになりました。

Rules for matching Issuer and Subject strings

The rules for matching Issuer and Subject strings are as follows:

  • Issuer and Subject strings are checked independently. Both are optional.
  • An unspecified string means that any string is accepted.
  • Strings are compared as is and must match exactly.
  • UTF-8 characters are supported. However, wildcards (*) or regular expressions are not supported.
  • The following RFC 4514 requirements are implemented - characters that require escaping (with a '\' backslash, U+005C):
    • anywhere in the string: '"' (U+0022), '+' (U+002B), ',' (U+002C), ';' (U+003B), '<' (U+003C), '>' (U+003E), '\\' (U+005C);
    • at the beginning of the string: space (' ', U+0020) or number sign ('#', U+0023);
    • at the end of the string: space (' ', U+0020).
  • Null characters (U+0000) are not supported. If a null character is encountered, the matching will fail.
  • RFC 4517 and RFC 4518 standards are not supported.

For example, if Issuer and Subject organization (O) strings contain trailing spaces and the Subject organizational unit (OU) string contains double quotes, these characters must be escaped:

TLSServerCertIssuer=CN=Signing CA,OU=Development head,O=\ Example SIA\ ,DC=example,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group \"5\",O=\ Example SIA\ ,DC=example,DC=com
Field order and formatting

Zabbix follows the recommendations of RFC 4514, which specifies a "reverse" order for these fields, starting with the lowest-level fields (CN), proceeding to the mid-level fields (OU, O), and concluding with the highest-level fields (DC).

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

In contrast, OpenSSL by default displays the Issuer and Subject strings in top-level to low-level order. In the following example, Issuer and Subject fields start with the top-level (DC) and end with the low-level (CN) field. The formatting with spaces and field separators also varies based on the options used, and thus will not match the format required by Zabbix.

$ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject
       issuer= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Signing CA
       subject= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Zabbix proxy
       
       $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt
       Certificate:
           ...
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix proxy

To format Issuer and Subject strings correctly for Zabbix, invoke OpenSSL with the following options:

$ openssl x509 -noout -issuer -subject \
           -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname\
           -in /home/zabbix/zabbix_proxy.crt

The output will then be in reverse order, comma-separated, and usable in Zabbix configuration files and frontend:

issuer= CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       subject= CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

X.509 v3 証明書拡張の使用に関する制限

  • 件名の別名(subjectAltName)拡張
    subjectAltName拡張からの代替件名(IPアドレス、電子メールアドレス等)は、Zabbixではサポートされていません。 Zabbixで確認できるのは"Subject"フィールドの値のみです (許可された証明書の発行者とサブジェクトの制限 を参照してください)。
    証明書が subjectAltName 拡張子を使用している場合、結果は、Zabbix コンポーネントがコンパイルされている暗号化ツールキットの特定の組み合わせによって異なります (動作する場合と動作しない場合があり、Zabbix はピアからのそのような証明書の受け入れを拒否する場合があります)。
  • 拡張キーの使用拡張。
    使用する場合、一般に clientAuth (TLS WWW クライアント認証) と serverAuth (TLS WWW サーバー認証) の両方が必要です。
    たとえば、パッシブ チェックでは、Zabbix エージェントは TLS サーバーの役割で動作するため、serverAuth をエージェント証明書に設定する必要があります。 アクティブ チェックのエージェント証明書には、clientAuth を設定する必要があります。
    GnuTLS は、鍵の使用法に違反した場合に警告を発行しますが、通信は続行できます。
  • 名前制約 拡張
    すべての暗号化ツールキットがサポートしているわけではありませんが、この拡張機能により、このセクションが重要とマークされているCA証明書を Zabbix がロードできない場合があります (暗号化ツールキットによって異なります)。

証明書失効リスト(CRL)

証明書が漏洩した場合、CAはCRLに記載することで証明書を失効させることができます。CRL は server 、proxy、agent の コンフィギュレーションファイルで TLSCRLFile というパラメータを使って設定することができます。 例えば、以下のようになります:

TLSCRLFile=/home/zabbix/zabbix_crl_file

zabbix_crl_file には複数の CA の CRL が含まれ、以下のように表示されることがあります:

-----BEGIN X509 CRL-----
       MIIB/DCB5QIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixkARkWA2Nv
       ...
       treZeUPjb7LSmZ3K2hpbZN7SoOZcAoHQ3GWd9npuctg=
       -----END X509 CRL-----
       -----BEGIN X509 CRL-----
       MIIB+TCB4gIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQBGRYDY29t
       ...
       CAEebS2CND3ShBedZ8YSil59O6JvaDP61lR5lNs=
       -----END X509 CRL-----

CRLファイルは Zabbix 起動時のみ読み込まれます。CRLの更新には再起動が必要です

ZabbixコンポーネントがOpenSSLでコンパイルされ、CRLを使用する場合、証明書チェーンのトップレベル及び
中間レベルの各CAは、TLSCRLFileに対応するCRL(空でも可)を持つ必要があります。

© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy