Documentation

This is a translation of the original English documentation page. Help us make it better.
1 מבנה ידני
2 מה זה Zabbix
3 יכולות Zabbix
4 סקירה של Zabbix
5 What's new in Zabbix 6.4.0
6 What's new in Zabbix 6.4.1
6 What's new in Zabbix 6.4.4
7 What's new in Zabbix 6.4.2
8 What's new in Zabbix 6.4.3
10 What's new in Zabbix 6.4.5
12 What's new in Zabbix 6.4.6
12 What's new in Zabbix 6.4.7
13 What's new in Zabbix 6.4.8
14 What's new in Zabbix 6.4.9
15 What's new in Zabbix 6.4.10
16 What's new in Zabbix 6.4.11
17 What's new in Zabbix 6.4.12
18 What's new in Zabbix 6.4.13
19 What's new in Zabbix 6.4.14
20 What's new in Zabbix 6.4.15
21 What's new in Zabbix 6.4.16
22 What's new in Zabbix 6.4.17
23 What's new in Zabbix 6.4.18
24 What's new in Zabbix 6.4.19
25 What's new in Zabbix 6.4.20
2. הגדרות מינוח
1 זמינות גבוהה
2 סוכן
3 Agent (סוכן) 2
4 Proxy
1 הגדרה ממקורות
2 התקנה מחבילות RHEL
3 הקמה מחבילות Debian/Ubuntu
6 שולח
7 משיכה (Get)
8 JS
9 שירות אתר
1 קבלת Zabbix
1 תלות של תוסף PostgreSQL
2 תלות של תוסף MongoDB
שיטות עבודה מומלצות להגדרת Zabbix מאובטחת
בניית Zabbix agent 2 על Windows
בניית סוכן Zabbix על Windows
הרכבת הסוכן של Zabbix ב־macOS
1 Red Hat Enterprise Linux
2 Debian/Ubuntu/Raspbian
3 שרת SUSE Linux Enterprise
4 התקנת סוכן Windows מ־MSI
5 התקנת סוכן ב־Mac OS מ־PKG
6 מהדורות מעורערות
5 התקנה מקונטיינרים
6 התקנת מנשק האתר
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
Upgrade from containers
שדרוג ממקורות
1 Compilation issues
9 שינויים בתבנית
10 Upgrade notes for 6.4.0
11 Upgrade notes for 6.4.1
12 Upgrade notes for 6.4.2
13 Upgrade notes for 6.4.3
13 Upgrade notes for 6.4.4
14 Upgrade notes for 6.4.5
15 Upgrade notes for 6.4.6
17 Upgrade notes for 6.4.7
18 Upgrade notes for 6.4.8
19 Upgrade notes for 6.4.9
20 Upgrade notes for 6.4.10
21 Upgrade notes for 6.4.11
22 Upgrade notes for 6.4.12
23 Upgrade notes for 6.4.13
24 Upgrade notes for 6.4.14
24 Upgrade notes for 6.4.15
26 Upgrade notes for 6.4.16
27 Upgrade notes for 6.4.17
28 Upgrade notes for 6.4.18
29 Upgrade notes for 6.4.19
1 התחברות והגדרת משתמש
2 מארח חדש
3 פריט חדש
4 New trigger
5 קבלת התראות על תקלות
6 תבנית חדשה
6. מכשיר Zabbix
1 הגדרת מארח
2 מאגר
3 עדכון במרוכז
1 פורמט מפתח פריט
2 מרווחי זמן מותאמים אישית
1 דוגמאות שימוש
2 פרטי עיבוד טרומי
בריחה של תווים מיוחדים מערכי מאקרו LLD ב-JSONPath
אובייקטי JavaScript נוספים
5 עיבוד טרומי של CSV ל־JSON
Windows Zabbix agent
Zabbix agent 2
1 אינדקסים דינמיים
2 OIDs מיוחדים
3 קובצי MIB
3 מלכודות SNMP
4 בדיקות IPMI
מפתחות פריט ניטור VMware
6 Log file monitoring
חישובים מצטברים
8 בדיקות פנימיות
9 בדיקות SSH
10 בדיקות Telnet
11 בדיקות חיצוניות
12 פריטי לוכד
13 מעקב דרך JMX
1 הגדרות UnixODBC מומלצות עבור MySQL
2 הגדרות UnixODBC מומלצות עבור PostgreSQL
3 הגדרות UnixODBC מומלצות עבור Oracle
4 הגדרות UnixODBC מומלצות עבור MSSQL
15 פריטים תלויים
16 סוכן HTTP
17 בדיקות Prometheus
18 פריטי סקריפט
4 היסטוריה ומגמות
1 הרחבת סוכני Zabbix
7 מוני ביצועים של Windows
8 עדכון במרוכז
9 מיפוי ערכים
10 תור
11 מטמון ערך
12 להפעיל כעת
13 הגבלת בדיקות סוכן
1 הגדרת טריגר
2 ביטוי הקפצה
3 תלויות הקפצות
4 חומרת הטריגר
5 התאמה אישית של חומרת הטריגר
6 עדכון במרוכז
7 פונקציות הקפצה חזויות
1 יצירת אירוע הקפצה
2 מקורות אירועים נוספים
3 סגירת תקלות ידנית
1 יחס בין אירועים מבוסס הקפצות
2 מתאם אירוע עולמי
6 תיוג
1 גרפים פשוטים
2 תרשימים מותאימים אישית
3 גרפים אד-הוק
4 צבירה בגרפים
1 הגדרת מפת רשת
2 רכיבי קבוצת מארחים
3 מחווני קישור
3 לוחות מחוונים
4 לוחות מחוונים מארח
1 הגדרת תבנית
2 קישור/ניתוק
3 קינון
4 עדכון במרוכז
HTTP template operation
פעולת תבנית IPMI
פעולת תבנית IPMI
פעולת תבנית ODBC
פעולת תבנית Zabbix agent 2
פעולת תבנית Zabbix agent 2
תבניות סטנדרטיות עבור התקני רשת
1 דואר אלקטרוני
2 SMS (מסרונים)
3 סקריפטים מותאמים אישית של התראות
דוגמאות לסקריפט התלייה
1 תנאים
2 פקודות מרוחקות
3 פעולות נוספות
4 שימוש בפקודות מאקרו בהודעות
סקירה כללית
3 פעולות שחזור
4 פעולות עדכון
5 הסלמות
3 קבלת הודעה על פריטים לא נתמכים
1 פונקציות מאקרו
2 תסריטי מאקרו של משתמש
3 פקודות מאקרו של משתמש עם הקשר
4 Secret user macros
4 פקודות מאקרו גילוי ברמה נמוכה
5 פקודות מאקרו של ביטוי
1 הגדרת משתמש
2 הרשאות
3 קבוצות משתמשים
CyberArk configuration
HashiCorp configuration
14 דוחות מתוזמנים
1 Export to files
2 Streaming to external systems
3 SLA
4 דוגמה להקמה
תצורת שירות
1 פריטי ניטור אינטרנט
2 תרחיש מהחיים האמיתיים
1 שדות מפתח לגילוי מחשב וירטואלי
4 VMware monitoring setup example
JSON examples for VMware items
מפתחות פריט ניטור VMware
11. תחזוקה
12. ביטויים רגולריים
1 Problem suppression
1 Template groups
2 Host groups
2 תבניות
3 מארחים
4 מפות רשת
5 סוגי מדיה
1 הגדרת כלל גילוי רשת
2 רישום אוטומטי של סוכן פעיל
1 אבות טיפוס של פריט
2 אבות טיפוס של טריגר
3 אבות טיפוס של גרפים
4 אבות טיפוס מארח
4 הערות על גילוי ברמה נמוכה
1 גילוי מערכות קבצים מעוגנות
2 גילוי של מנשקי רשת
3 גילוי של מעבדים וליבות מעבדים
4 Discovery of SNMP OIDs
4 גילוי של SNMP OIDs
5 גילוי פריטי JMX
6 גילוי חיישני IPMI
7 גילוי שירותי systemd
8 גילוי שירותי Windows
9 גילוי של מופעי מדדי ביצועים של Windows
10 גילוי באמצעות שאילתות WMI
11 גילוי באמצעות שאילתות ODBC SQL
12 גילוי באמצעות נתוני פרומתאוס
13 גילוי של התקני בלוק
14 גילוי ממשקי מארח ב- Zabbix
1 Synchronization of monitoring configuration
1 שימוש בתעודות
2 שימוש במפתחות ששותפו מראש
1 בעיות בסוג חיבור או הרשאה
2 תקלות אישורים
3 PSK problems
1 Event context menu
2 Host context menu
3 Item context menu
1 Action log
2 Clock
3 Data overview
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Geomap
8 Graph
9 Graph (classic)
10 Graph prototype
11 Host availability
12 Item value
13 Map
14 Map navigation tree
15 Plain text
16 Problem hosts
17 Problems
18 Problems by severity
19 SLA report
20 System information
21 Top hosts
22 Trigger overview
23 URL
24 Web monitoring
1 Cause and symptom problems
1 תרשימים
2 תרחישי אתרים
4 Maps
4 נתונים עדכניים
6 גילוי
1 Services
3 SLA
4 דוח SLA (איכות שירות)
1 סקירה
2 מארחים
1 פרטי המערכת
2 דוחות מתוזמנים
3 דוח זמינות
4 100 ההקפצות המובילות
5 Audit log
6 יומן משימות
7 התראות
1 Template groups
1 מארח קבוצות
1 Items
2 הקפצות
3 תרשימים
1 Item prototypes
2 Trigger prototypes
3 Graph prototypes
4 אבות טיפוס מארח
5 תרחישי אתרים
1 Items
2 הקפצות
3 תרשימים
1 Item prototypes
2 Trigger prototypes
3 Graph prototypes
4 אבות טיפוס מארח
5 תרחישי אתרים
5 Maintenance
6 Event correlation
7 Discovery
1. כללי
2 Audit log
2 מתווכים
3 Housekeeping
5 Macros
9 תור
5 משימות
7 סוגי מדיה
8 סקריפטים
3 Users
4 API tokens
4 קבוצות משתמשים
1 HTTP
2 LDAP
3 SAML
5 תפקידי משתמש
1 התראות גלובליות
2 צליל בדפדפנים
4 חיפוש גלובלי
5 מצב תחזוקת מנשק אתר חזיתי
6 משתני עמוד
7 הגדרות
8 יצירת ערכת עיצוב משלך
9 מצב ניפוי שגיאות
10 עוגיות בשימוש על ידי Zabbix
11 אזורי זמן
13 Resetting password
> Connector object
connector.create
connector.delete
connector.get
connector.update
> Module object
module.create
module.delete
module.get
module.update
> אובייקט SLA
sla.create
sla.delete
sla.get
sla.getsli
sla.עדכון
> Template group object
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
> User directory object
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
> גרף אב טיפוס אובייקט
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> עצם אבטיפוס מארח
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> עצם אבטיפוס פריט
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> עצם אימות
authentication.get
עדכון.אימות
> עצם אירוע
אירוע.אשר
אירוע.קבל
> אובייקט אסימון
token.create
אסימון.ליצור
אסימון.מחיקה
אסימון.עדכון
אסימון.קבל
> עצם בדיקת גילוי
dcheck.get
> אובייקט גרף
graph.create
graph.get
גרף.מחיקה
עדכון גרף
> עצם ביטוי רגולרי
regexp.create
regexp.delete
regexp.get
regexp.update
> עצם הגדרות
הגדרות.עדכון
הגדרות.קבל
> אובייקט מפעיל
trigger.create
trigger.delete
trigger.get
טריגר.עדכון
> עצם היסטוריה
היסטוריה.נקה
היסטוריה.קבל
> עצם התראה
alert.get
> הפעלת אובייקט אב טיפוס
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> עצם יומן פיקוח
auditlog.get
> עצם יחס
correlation.get
עדכון.מתאם
קורלציה.מחיקה
קורלציה.צור
> עצם כלל גילוי
drule.create
drule.get
drule.מחיקה
עדכון drule
> אובייקט כלל LLD
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> עצם דוח
דווח.מחק
דיווח.עדכון
דיווח.צור
דיווח.קבל
> עצם לוח מחוונים
1 Action log
2 Clock
3 Data overview
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Geomap
8 Graph
9 Graph (classic)
10 Graph prototype
11 Host availability
12 Item value
13 Map
14 Map navigation tree
15 Plain text
16 Problem hosts
17 Problems
18 Problems by severity
19 SLA report
20 System information
21 Top hosts
22 Trigger overview
23 URL
24 Web monitoring
dashboard.get
לוח מחוונים. ליצור
לוח מחוונים.מחק
עדכון לוח מחוונים
> אובייקט לוח המחוונים של תבנית
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.עדכון
> אובייקט מאקרו משתמש
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> עצם מארח
host.create
host.get
host.massadd
host.massremove
מארח.מחק
מארח.עדכון
מארח.עדכון מס
> עצם מארח שהתגלה
dhost.get
> אובייקט מגמה
אסימון
> עצם מנשק מארח
hostinterface.create
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.עדכון
ממשק מארח.מחק
> עצם מפה
מפה.מחק
מפה.צור
מפה.קבל
עדכון מפה
> אובייקט צומת זמינות גבוהה
hanode.get
> עצם סמל במפה
iconmap.create
iconmap.delete
iconmap.get
iconmap.עדכון
> אובייקט מפת ערך
valuemap.delete
valuemap.get
valuemap.update
שינוי תפקיד משתמש
> אובייקט משימה
משימה.צור
משימה.קבל
> עצם ניקוי וסידור
housekeeping.get
עדכון. משק בית
> עצם סוג מדיה
mediatype.create
mediatype.delete
mediatype.get
עדכון מדיה
> עצם משימה
action.create
action.delete
action.get
action.update
> עצם מתווך
proxy.get
proxy.יצור
proxy.מחיקה
עדכון. proxy
apiinfo.version
> עצם פריט
פריט.יצירה
פריט.מחק
פריט.עדכון
פריט.קבל
> אובייקט פריט גרף
graphitem.get
> עצם קבוצת מארחים
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
> אובייקט קבוצת משתמשים
usergroup.get
קבוצת משתמשים.מחק
קבוצת משתמשים.עדכון
קבוצת משתמשים.צור
> עצם רישום אוטומטי
autoregistration.get
עדכון אוטומטי
> עצם משתמש
user.checkAuthentication
user.out
user.provision
כניסת משתמש
משתמש.בטל חסימה
משתמש.מחק
משתמש.צור
משתמש.קבל
עדכון משתמש
> עצם שירות
עדכון שירות
שירות.מחק
שירות.צור
שירות.קבל
> אובייקט שירות שהתגלה
dservice.get
> עצם תבנית
template.get
תבנית.massadd
תבנית.הסרה מסה
תבנית.ליצור
תבנית.מחק
תבנית.עדכון
תבנית.עדכון המוני
> עצם תחזוקה
עדכון. תחזוקה
תחזוקה.ליצור
תחזוקה.מחיקה
תחזוקה.קבל
> עצם תמונה
עדכון תמונה
תמונה.מחק
תמונה.צור
תמונה.קבל
> עצם סקריפט
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
לנפות
> עצם תפקיד
role.update
תפקיד.מחק
תפקיד.צור
תפקיד.קבל
configuration.export
configuration.import
configuration.importcompare
> אובייקט בעיה
בעיה.קבל
> עצם תרחיש אתר
httptest.create
httptest.delete
httptest.get
httptest.update
Appendix 2. Changes from 6.2 to 6.4
Zabbix API changes in 6.4
נספח 1. פירוש עזר
1 בניית תוספים הניתנים לטעינה
3 Frontend modules
6 מודולים נטענים
1 יצירת מסד נתונים
2 תיקון ערכת תווים ואיסוף במסד הנתונים של Zabbix
3 שדרוג מסד נתונים למפתחות עיקריים
1 MySQL encryption configuration
2 PostgreSQL encryption configuration
5 הגדרת TimescaleDB
6 הגדרת Elasticsearch
8 הערות תלויות הפצה על הגדרת Nginx ל־Zabbix
9 הפעלת סוכן כשורש
10 Zabbix agent על גבי Microsoft Windows
11 SAML setup with Microsoft Azure AD
11 הקמת SAML עם Okta
12 הגדרת מסד נתונים של Oracle
13 SAML setup with OneLogin
13 הגדרת דוחות מתוזמנים
14 שפות מנשק נוספות
15 Upgrading to numeric values of extended range
1 שרת Zabbix
2 מתווך Zabbix
3 Zabbix agent (יוניקס)
4 Zabbix agent 2 (יוניקס)
5 Zabbix agent (Windows)
6 Zabbix agent 2 (Windows)
1 תוסף Ceph
2 תוסף Docker
3 תוסף Memcached
4 תוסף Modbus
5 תוסף MongoDB
6 תוסף MQTT
7 MSSQL plugin
7 MySQL plugin
8 תוסף Oracle
9 PostgreSQL plugin
10 תוסף Redis
11 תוסף Smart (חכם)
8 Zabbix Java gateway
9 שירות האתר של Zabbix
10 הכללה
1 פרוטוקול החלפת נתונים בין שרת למתווך
2 פרוטוקול סוכן Zabbix
3 פרוטוקול Zabbix agent 2
4 פרוטוקול תוסף Zabbix agent 2
5 פרוטוקול שולח Zabbix
7 פרוטוקול ייצוא בזמן אמת
סקירה כללית
1 vm.memory.size parameters
3 Trapper items
3 בדיקות פסיביות ואקטיביות של הסוכן (aagent)
4 Minimum permission level for Windows agent items
5 Encoding of returned values
6 Large file support
7 Sensor
8 Notes on memtype parameter in proc.mem items
9 Notes on selecting processes in proc.mem and proc.num items
10 Implementation details of net.tcp.service and net.udp.service checks
11 proc.get parameters
12 הגדרות מנשק מארח לא נגיש/לא זמין
13 מעקב מרחוק אחרי סטטיסטיקות של Zabbix
14 הגדרת Kerberos עם Zabbix
15 משתנים ל־modbus.get
16 יצירת שמות מוני ביצועים מותאמים אישית VMware
17 Return values
1 פונקציית foreach (לכל מופע)
2 פונקציות Bitwise
3 פונקציות תאריך ושעה
4 פונקציות היסטוריה
5 Trend functions
6 Mathematical functions
7 Operator functions
8 Prediction functions
9 String functions
1 Supported macros
2 פקודות מאקרו של משתמש נתמכות לפי מיקום
8 סמלי יחידות
9 תחביר משך זמן
10 ביצוע פקודה
11 תאימות גרסאות
12 טיפול בשגיאות במסד נתונים
13 ספריית קישורים דינמית של שולח Zabbix עבור Windows
14 Python library for Zabbix API
14 שדרוג מעקב אחר שירותים
15 תקלות נוספות
16 השוואה בין סוכן מול סוכן 2
18 Escaping examples
1. Monitor Linux with Zabbix agent
2 Monitor Windows with Zabbix agent
3. Monitor Apache via HTTP
4. Monitor MySQL with Zabbix agent 2
5 Monitor VMware with Zabbix
manifest.json
Actions
Views
Assets
Register a new module
Configuration
Presentation
Create a module (tutorial)
Create a widget (tutorial)
Examples
Examples
Build a plugin (tutorial)
Plugin interfaces
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

17. הצפנה

סקירה כללית

Zabbix תומך בתקשורת מוצפנת בין רכיבי Zabbix באמצעות פרוטוקול Transport Layer Security (TLS) v.1.2 ו-1.3 (בהתאם ל- ספריית קריפטו). הצפנה מבוססת תעודות ומפתחות משותפת מראש נתמך.

ניתן להגדיר הצפנה עבור חיבורים:

ההצפנה היא אופציונלית וניתנת להגדרה עבור רכיבים בודדים:

  • ניתן להגדיר כמה פרוקסי וסוכנים לשימוש מבוסס אישורים הצפנה עם השרת, בעוד שאחרים יכולים להשתמש בשיתוף מראש הצפנה מבוססת מפתח, ועוד אחרים ממשיכים עם לא מוצפן תקשורת (כמו קודם)
  • שרת (פרוקסי) יכול להשתמש בתצורות הצפנה שונות עבור מארחים שונים

תוכניות דמון Zabbix משתמשות ביציאת האזנה אחת עבור מוצפן ו חיבורים נכנסים לא מוצפנים. הוספת הצפנה אינה מחייבת פתיחת יציאות חדשות בחומות אש.

מגבלות

  • מפתחות פרטיים מאוחסנים בטקסט רגיל בקבצים הניתנים לקריאה על ידי Zabbix רכיבים במהלך האתחול
  • מפתחות משותפים מראש מוזנים בחזית Zabbix ומאוחסנים ב- Zabbix מסד נתונים בטקסט רגיל
  • הצפנה מובנית אינה מגנה על תקשורת:
    • בין שרת האינטרנט המריץ את Zabbix Frontend לבין אינטרנט של משתמש דפדפן
    • בין חזית Zabbix לשרת Zabbix
  • כרגע כל חיבור מוצפן נפתח בלחיצת יד מלאה TLS, אין מטמון הפעלה וכרטיסים מיושמים
  • הוספת הצפנה מגדילה את הזמן לבדיקות ופעולות של פריטים, בהתאם לאחזור הרשת:
    • לדוגמה, אם עיכוב מנות הוא 100ms אז פתיחת TCP חיבור ושליחת בקשה לא מוצפנת לוקח בערך 200 אלפיות השנייה. עם הצפנה מתווספות כ-1000 אלפיות השנייה להקמת ה-TLS חיבור;
    • ייתכן שיהיה צורך להגדיל את זמני הזמן, אחרת חלק מהפריטים ו פעולות שמריצות סקריפטים מרוחקים על סוכנים עשויות לעבוד איתן חיבורים לא מוצפנים, אך נכשלים עם פסק זמן עם מוצפן.
  • הצפנה אינה נתמכת על ידי רשת Discovery. סוכן Zabbix בודק שיבוצע על ידי גילוי רשת יהיה לא מוצפן ואם Zabbix הסוכן מוגדר לדחות חיבורים לא מוצפנים בדיקות כאלה לא יצליח.

קומפילציה של Zabbix עם תמיכה בהצפנה

כדי לתמוך בהצפנה Zabbix חייב להיות הידור ולקשר עם אחד מה ספריות קריפטו נתמכות:

  • GnuTLS - מגרסה 3.1.18
  • OpenSSL - גרסאות 1.0.1, 1.0.2, 1.1.0, 1.1.1, 3.0.x. שים לב ש-3.0.x נתמך מאז Zabbix 6.0.4.
  • LibreSSL - נבדק עם גרסאות 2.7.4, 2.8.2:
    • LibreSSL 2.6.x אינו נתמך
    • LibreSSL נתמך כתחליף תואם של OpenSSL; לא נעשה שימוש בפונקציות ה-API הספציפיות ל-LibreSSL החדשות tls_*(). לא ניתן יהיה להשתמש ברכיבי Zabbix המותרים עם LibreSSL PSK, ניתן להשתמש רק בתעודות.

הספרייה נבחרת על ידי ציון האפשרות המתאימה ל סקריפט "הגדר":

  • --with-gnutls[=DIR]
  • --with-openssl[=DIR] (משמש גם עבור LibreSSL)

לדוגמה, כדי להגדיר את המקורות עבור שרת וסוכן עם OpenSSL אתה יכול להשתמש במשהו כמו:

 ./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl

רכיבי Zabbix שונים עשויים להיות מורכבים עם קריפטו שונה ספריות (למשל שרת עם OpenSSL, סוכן עם GnuTLS).

::: שימו לב חשוב אם אתה מתכנן להשתמש במפתחות משותפים מראש (PSK), שקול להשתמש בספריות GnuTLS או OpenSSL 1.1.0 (או חדשות יותר) ב רכיבי Zabbix באמצעות PSKs. ספריות GnuTLS ו-OpenSSL 1.1.0 תמיכה ב-PSK ciphersuites עם Perfect Forward סודיות. גם גרסאות ישנות יותר של ספריית OpenSSL (1.0.1, 1.0.2c) תומכות PSKs, אבל PSK ciphersuites זמינות לא מספקות Perfect Forward סוֹדִיוּת. :::

ניהול הצפנת חיבור

חיבורים ב- Zabbix יכולים להשתמש ב:

ישנם שני פרמטרים חשובים המשמשים לציון הצפנה ביניהם רכיבי Zabbix:

  • TLSConnect - מציין באיזו הצפנה להשתמש עבור יוצאים חיבורים (לא מוצפנים, PSK או אישור)
  • TLSAccept - מציין לאילו סוגי חיבורים מותרים חיבורים נכנסים (לא מוצפנים, PSK או אישור). אחד או יותר ניתן לציין ערכים.

TLSConnect משמש בקבצי התצורה עבור Zabbix proxy (ב מצב פעיל, מציין רק חיבורים לשרת) וסוכן Zabbix (עבור צ'קים פעילים). בחזית Zabbix המקבילה של TLSConnect היא חיבורים למארח בשדה תצורה ← מארחים ← <כמה מארח> → הכרטיסייה הצפנה והשדה חיבורים ל-proxy ב ניהול ← פרוקסי ← <proxy כלשהו> ← הכרטיסייה הצפנה. אם ה סוג ההצפנה שהוגדר לחיבור נכשל, אין הצפנה אחרת סוגים ינוסו.

TLSAccept משמש בקובצי התצורה עבור Zabbix proxy (ב מצב פסיבי, מציין רק חיבורים מהשרת) וסוכן Zabbix (עבור צ'קים פסיביים). בחזית Zabbix המקבילה של TLSAccept היא חיבורים מארח בשדה תצורה ← מארחים ← <כמה מארח> → הכרטיסייה הצפנה והשדה חיבורים מ-proxy ב ניהול ← פרוקסי ← <proxy כלשהו> ← הכרטיסייה הצפנה.

בדרך כלל אתה מגדיר רק סוג אחד של הצפנה עבור נכנסות הצפנות. אבל אולי תרצה לשנות את סוג ההצפנה, למשל. מ לא מוצפן למבוסס אישורים עם מינימום זמן השבתה והחזרה לאחור אפשרות. כדי להשיג זאת:

  • הגדר 'TLSAccept=unencrypted,cert' בקובץ התצורה של הסוכן ו הפעל מחדש את סוכן Zabbix
  • בדוק את החיבור עם zabbix_get לסוכן באמצעות אישור. אם זה עובד, אתה יכול להגדיר מחדש הצפנה עבור הסוכן הזה ב- Zabbix ממשק קצה ב-תצורה → מארחים → <מארח כלשהו> → לשונית הצפנה על ידי הגדרת חיבורים למארח ל"אישור".
  • כאשר מטמון תצורת השרת מתעדכן (ופרוקסי התצורה מתעדכנת אם המארח מנוטר על ידי פרוקסי). החיבורים לאותו סוכן יוצפנו
  • אם הכל עובד כמצופה אתה יכול להגדיר 'TLSAccept=cert' ב- קובץ תצורת הסוכן והפעל מחדש את סוכן Zabbix. עכשיו הסוכן יקבל רק חיבורים מוצפנים מבוססי תעודות. חיבורים לא מוצפנים ומבוססי PSK יידחו.

באופן דומה זה עובד על שרת ו-proxy. אם ב-Zabix frontend in תצורת המארח חיבורים מהמארח מוגדרת ל"אישור" אז רק חיבורים מוצפנים מבוססי תעודה יתקבלו מה- סוכן (צ'קים פעילים) ו-zabbix_sender (פריטי לוכד).

סביר להניח שתגדיר חיבורים נכנסים ויוצאים לשימוש אותו סוג הצפנה או ללא הצפנה כלל. אבל טכנית זה כן אפשר להגדיר אותו בצורה אסימטרית, למשל. מבוסס תעודה הצפנה עבור נכנסות ומבוססת PSK עבור חיבורים יוצאים.

תצורת ההצפנה עבור כל מארח מוצגת ב- Zabbix חזית, ב-תצורה → מארחים בעמודה הצפנת סוכן. לדוגמה:

|דוגמה|חיבורים למארח|חיבורים מותרים מהמארח|חיבורים שנדחו מהמארח| |-------|------------------------|------------------------|- ------------------| |none_none.png|לא מוצפן|לא מוצפן|מוצפן, תעודה ו-PSK מוצפן| |cert_cert.png|מוצפן, מבוסס תעודה|מוצפן, מבוסס תעודה|מוצפן לא מוצפן ומבוסס PSK| |psk_psk.png|מוצפן, מבוסס PSK|מוצפן, מבוסס PSK|מוצפן לא מוצפן ומבוסס תעודות| |psk_none_psk.png|מוצפן, מבוסס PSK|מוצפן לא מוצפן ומבוסס PSK|מוצפן מבוסס אישור| |cert_all.png|מוצפן, מבוסס תעודה|לא מוצפן, PSK או מבוסס תעודה מוצפן|-|

::: שימו לב חשוב חיבורים אינם מוצפנים כברירת מחדל. הצפנה יש להגדיר עבור כל מארח ופרוקסי בנפרד. :::

zabbix_get ו-zabbix_sender עם הצפנה

ראה zabbix_get ו zabbix_sender דפי manpage לשימוש בהם עם הצפנה.

סוויטות צופן

חבילות צויפרים כברירת מחדל מוגדרות באופן פנימי במהלך ההפעלה של Zabbix ולפני Zabbix 4.0.19, 4.4.7, אינם ניתנים להגדרה על ידי המשתמש.

מאז Zabbix 4.0.19, 4.4.7 גם חבילות צופן בהגדרת משתמש הן נתמך עבור GnuTLS ו-OpenSSL. משתמשים יכולים configure ciphersuites לפי מדיניות האבטחה שלהם. השימוש בתכונה זו הוא אופציונלי (מובנה חבילות צופן ברירת מחדל עדיין עובדות).

עבור ספריות קריפטו הידור עם הגדרות ברירת המחדל Zabbix מובנית כללים בדרך כלל מביאים לחבילות הצפנים הבאות (בסדר מ בעדיפות גבוהה עד נמוכה יותר):

ספרייה חבילות צופן תעודות חבילות צופן PSK
GnuTLS 3.1.18 TLS_ECDHE_RSA_AES_128_GCM_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA256
TLS_ECDHE_RSA\2_A _CBC_SHA1
TLS_RSA_AES_128_GCM_SHA256
TLS_RSA_AES_128_CBC_SHA256
TLS_RSA_AES_128_CBC_SHAECDLS_SHA1		 _PSK_AES_128_CBC_SHA256
TLS_ECDHE_PSK_AES_128_CBC_SHA1
TLS_PSK_AES_128_GCM_SHA256_TLS_PSK_1_8 _CBC_SHA256
TLS_PSK_AES_128_CBC_SHA1
OpenSSL 1.0.2c ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256-AES SHA256
AES128-SHA		 PSK-AES128-CBC-SHA
OpenSSL 1.1.0 ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA2528-AES1 CCM8
AES128-CCM
AES128-SHA256
AES128-SHA
 ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128 -GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA
OpenSSL 1.1.1d TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-18-RSA SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA25> AES128-SHA		 TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES-128-C PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA

חבילות צופן בהגדרת משתמש

ניתן לעקוף את קריטריוני הבחירה המובנים של חבילת צופן חבילות צופן בהגדרת משתמש.

::: שימו לב חשוב ciphersuites בהגדרת משתמש היא תכונה מיועדת למשתמשים מתקדמים שמבינים חבילות צופן TLS, האבטחה שלהן ו השלכות של טעויות, ומי שנוח עם TLS פתרון תקלות. :::

ניתן לעקוף את קריטריוני הבחירה המובנים של ciphersuite באמצעות הפרמטרים הבאים:

עקוף היקף פרמטר ערך תיאור
בחירת חבילת צופן לאישורים TLSCipherCert13 Valid OpenSSL 1.1.1 מחרוזות צופן עבור פרוטוקול TLS 1.3 (הערכים שלהם מועברים אל הפונקציה OpenSSL SSL_CTX_set_ciphersuites()). קריטריונים לבחירת צופן מבוססי תעודות עבור TLS 1.3

רק OpenSSL 1.1.1 ומעלה.
TLSCipherCert Valid OpenSSL מחרוזות צופן עבור TLS 1.2 או GnuTLS [מחרוזות עדיפות] חוקיות (https://gnutls .org/manual/html_node/Priority-Strings.html). הערכים שלהם מועברים לפונקציות SSL_CTX_set_cipher_list() או gnutls_priority_init() בהתאמה. קריטריונים לבחירת חבילת צופן מבוססת תעודות עבור TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
בחירת צופן עבור PSK TLSCipherPSK13 OpenSSL תקף 1.1.1 מחרוזות צופן עבור פרוטוקול TLS 1.3 (הערכים שלהם מועברים אל הפונקציה OpenSSL SSL_CTX_set_ciphersuites()). קריטריונים לבחירת צופן מבוססי PSK עבור TLS 1.3

רק OpenSSL 1.1.1 ומעלה.
TLSCipherPSK OpenSSL חוקי מחרוזות צופן עבור TLS 1.2 או GnuTLS [מחרוזות עדיפות] חוקיות (https://gnutls .org/manual/html_node/Priority-Strings.html). הערכים שלהם מועברים לפונקציות SSL_CTX_set_cipher_list() או gnutls_priority_init() בהתאמה. קריטריוני בחירה מבוססי-PSK עבור TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
רשימת חבילת צופן משולבת עבור אישור ו-PSK TLSCipherAll13 Valid OpenSSL 1.1.1 מחרוזות צופן עבור פרוטוקול TLS 1.3 (הערכים שלהם מועברים לפונקציית OpenSSL SSL_CTX_set_ciphersuites()). קריטריונים לבחירת חבילת צופן עבור TLS 1.3

רק OpenSSL 1.1.1 ומעלה.
TLSCipherAll OpenSSL חוקית מחרוזות צופן עבור TLS 1.2 או GnuTLS [מחרוזות עדיפות] חוקיות (https://gnutls .org/manual/html_node/Priority-Strings.html). הערכים שלהם מועברים לפונקציות SSL_CTX_set_cipher_list() או gnutls_priority_init() בהתאמה. קריטריוני בחירת צופן סוויטה עבור TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)

כדי לעקוף את בחירת חבילת הצופן ב zabbix_get ו zabbix_sender כלי עזר - השתמש ב- פרמטרים של שורת הפקודה:

  • --tls-cipher13
  • --tls-cipher

הפרמטרים החדשים הם אופציונליים. אם לא צוין פרמטר, ה- נעשה שימוש בערך ברירת מחדל פנימי. אם מוגדר פרמטר זה לא יכול להיות ריק.

אם ההגדרה של ערך TLSCipher* בספריית ההצפנה נכשלת אז השרת, ה-proxy או הסוכן לא יתחילו ונרשמת שגיאה.

חשוב להבין מתי כל פרמטר ישים.

חיבורים יוצאים

המקרה הפשוט ביותר הוא חיבורים יוצאים:

  • לחיבורים יוצאים עם אישור - השתמש ב-TLSCipherCert13 או TLScipherCert
  • לחיבורים יוצאים עם PSK - השתמשו ב-TLSCipherPSK13 ו TLScipherPSK
  • במקרה של zabbix_get ו-zabbix_sender עזרי שורת הפקודה ניתן להשתמש בפרמטרים --tls-cipher13 ו---tls-cipher (ההצפנה מצוינת באופן חד משמעי באמצעות --tls-connect פָּרָמֶטֶר)
חיבורים נכנסים

זה קצת יותר מסובך עם חיבורים נכנסים כי חוקים הם ספציפי לרכיבים ותצורה.

עבור Zabbix סוכן:

הגדרת חיבור סוכן תצורת צופן
TLSConnect=cert TLSCipherCert, TLSCipherCert13
TLSConnect=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert TLSCipherCert, TLSCipherCert13
TLSAccept=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert,psk TLSCipherAll, TLSCipherAll13

עבור Zabbix שרת ופרוקסי:

הגדרת חיבור תצורת צופן
חיבורים יוצאים באמצעות PSK TLSCipherPSK, TLSCipherPSK13
חיבורים נכנסים באמצעות אישורים TLSCipherAll, TLSCipherAll13
חיבורים נכנסים באמצעות PSK אם לשרת אין אישור TLSCipherPSK, TLSCipherPSK13
חיבורים נכנסים באמצעות PSK אם לשרת יש אישור TLSCipherAll, TLSCipherAll13

ניתן לראות דפוס מסוים בשתי הטבלאות שלמעלה:

  • ניתן לציין TLSCipherAll ו-TLSCipherAll13 רק אם הם משולבים נעשה שימוש ברשימה של חבילות צופן מבוססות ו PSK. שם הם שני מקרים שבהם זה מתרחש: שרת (פרוקסי) עם מוגדר אישור (חבילות צופן PSK תמיד מוגדרות בשרת, ב-proxy אם ספריית הקריפטו תומכת ב-PSK), סוכן מוגדר לקבל את שניהם חיבורים נכנסים מבוססי תעודה ו-PSK
  • במקרים אחרים מספיקים TLSCipherCert* ו/או TLSCipherPSK*

הטבלאות הבאות מציגות את ערכי ברירת המחדל המובנים של TLSCipher*. הֵם יכולה להיות נקודת התחלה טובה לערכים המותאמים אישית שלך.

פרמטר GnuTLS 3.6.12
TLSCipherCert אין:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP -NULL:+SIGN-ALL:+CTYPE-X.509
TLSCipherPSK אין:+VERS-TLS1.2:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP -NULL:+סימן-הכל
TLSCipherAll ללא:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1 :+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
פרמטר OpenSSL 1.1.1d 1
TLSCipherCert13
TLSCipherCert EECDH+aRSA+AES128:RSA+aRSA+AES128
TLSCipherPSK13 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
TLSCipherPSK kECDHEPSK+AES128:kPSK+AES128
TLSCipherAll13
TLSCipherAll EECDH+aRSA+AES128:RSA+aRSA+AES128:kECDHEPSK+AES128:kPSK+AES128

1 ערכי ברירת המחדל שונים עבור גרסאות OpenSSL ישנות יותר (1.0.1, 1.0.2, 1.1.0), עבור LibreSSL ואם OpenSSL הידור ללא PSK תמיכה.

** דוגמאות של חבילות צופן בהגדרת משתמש **

ראה להלן את הדוגמאות הבאות של חבילות צופן בהגדרת משתמש:

חיבורים נכנסים

זה קצת יותר מסובך עם חיבורים נכנסים כי חוקים הם ספציפי לרכיבים ותצורה.

עבור Zabbix סוכן:

הגדרת חיבור סוכן תצורת צופן
TLSConnect=cert TLSCipherCert, TLSCipherCert13
TLSConnect=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert TLSCipherCert, TLSCipherCert13
TLSAccept=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert,psk TLSCipherAll, TLSCipherAll13

עבור Zabbix שרת ופרוקסי:

הגדרת חיבור תצורת צופן
חיבורים יוצאים באמצעות PSK TLSCipherPSK, TLSCipherPSK13
חיבורים נכנסים באמצעות אישורים TLSCipherAll, TLSCipherAll13
חיבורים נכנסים באמצעות PSK אם לשרת אין אישור TLSCipherPSK, TLSCipherPSK13
חיבורים נכנסים באמצעות PSK אם לשרת יש אישור TLSCipherAll, TLSCipherAll13

ניתן לראות דפוס מסוים בשתי הטבלאות שלמעלה:

  • ניתן לציין TLSCipherAll ו-TLSCipherAll13 רק אם הם משולבים נעשה שימוש ברשימה של חבילות צופן מבוססות ו PSK. שם הם שני מקרים שבהם זה מתרחש: שרת (פרוקסי) עם מוגדר אישור (חבילות צופן PSK תמיד מוגדרות בשרת, ב-proxy אם ספריית הקריפטו תומכת ב-PSK), סוכן מוגדר לקבל את שניהם חיבורים נכנסים מבוססי תעודה ו-PSK
  • במקרים אחרים מספיקים TLSCipherCert* ו/או TLSCipherPSK*

הטבלאות הבאות מציגות את ערכי ברירת המחדל המובנים של TLSCipher*. הֵם יכולה להיות נקודת התחלה טובה לערכים המותאמים אישית שלך.

פרמטר GnuTLS 3.6.12
TLSCipherCert אין:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP -NULL:+SIGN-ALL:+CTYPE-X.509
TLSCipherPSK אין:+VERS-TLS1.2:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP -NULL:+סימן-הכל
TLSCipherAll ללא:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1 :+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
פרמטר OpenSSL 1.1.1d 1
TLSCipherCert13
TLSCipherCert EECDH+aRSA+AES128:RSA+aRSA+AES128
TLSCipherPSK13 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
TLSCipherPSK kECDHEPSK+AES128:kPSK+AES128
TLSCipherAll13
TLSCipherAll EECDH+aRSA+AES128:RSA+aRSA+AES128:kECDHEPSK+AES128:kPSK+AES128

1 ערכי ברירת המחדל שונים עבור גרסאות OpenSSL ישנות יותר (1.0.1, 1.0.2, 1.1.0), עבור LibreSSL ואם OpenSSL הידור ללא PSK תמיכה.

** דוגמאות של חבילות צופן בהגדרת משתמש **

ראה להלן את הדוגמאות הבאות של חבילות צופן בהגדרת משתמש:

מעבר מ-AES128 ל-AES256

Zabbix משתמש ב-AES128 כברירת המחדל המובנית עבור נתונים. בוא נניח שאתה משתמשים באישורים ורוצים לעבור ל-AES256, ב-OpenSSL 1.1.1.

ניתן להשיג זאת על ידי הוספת הפרמטרים המתאימים zabbix_server.conf:

   TLSCAFile=/home/zabbix/ca.crt
          TLSCertFile=/home/zabbix/server.crt
          TLSKeyFile=/home/zabbix/server.key
          TLScipherCert13=TLS_AES_256_GCM_SHA384
          TLScipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
          TLScipherPSK13=TLS_CHACHA20_POLY1305_SHA256
          TLScipherPSK=kECDHEPSK+AES256:-SHA1
          TLScipherAll13=TLS_AES_256_GCM_SHA384
          TLScipherAll=EECDH+aRSA+AES256:-SHA1:-SHA384

::: שימו לב חשוב אמנם רק חבילות צופן הקשורות לתעודה ישמש, פרמטרים של TLSCipherPSK* מוגדרים גם כדי להימנע ערכי ברירת המחדל שלהם הכוללים צפנים פחות מאובטחים עבור רחב יותר יכולת פעולה הדדית. לא ניתן להשבית לחלוטין את PSK ciphersuites שרת/פרוקסי. :::

וב-zabbix_agentd.conf:

   TLSConnect=cert
          TLSAccept=cert
          TLSCAFile=/home/zabbix/ca.crt
          TLSCertFile=/home/zabbix/agent.crt
          TLSKeyFile=/home/zabbix/agent.key
          TLScipherCert13=TLS_AES_256_GCM_SHA384
          TLScipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy