Documentation

1 Estructura del manual
2 Què és Zabbix
3 Funcionalitats de Zabbix
4 Vista general de Zabbix
5 Què hi ha de nou al Zabbix 7.0.0
6 Què hi ha de nou al Zabbix 7.0.
7 Què hi ha de nou al Zabbix 7.0.2
8 Novetats de Zabbix 7.0.3
9 Què hi ha de nou al Zabbix 7.0.4
2. Definicions
1 Alta disponibilitat
2 Agent
3 Agent 2
4 Proxy
1 Configurar a partir de les fonts
2 Configurar des dels paquets de RHEL
3 Configuració des dels paquets Debian/Ubuntu
6 Sender
7 Get
8 JS
9 Servei Web
1 Obtenir Zabbix
1 Dependències del plugin PostgreSQL
2 Dependències del plugin MongoDB
1 Securitzant MySQL/MariaDB
2 Securitzant PostgreSQL/TimescaleDB
3 Securitzant Oracle
2 Criptografia
3 Servidor web
1 Compilant l'agent Zabbix sota Windows
2 Compilant l'agent Zabbix 2 sota Windows
3 Compilant l'agent Zabbix sobre macOS
1 Red Hat Enterprise Linux i derivats
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise Server
4 Instal·lació de l'agent Windows des d'MSI
5 Instal·lació de l'agent Mac OS des de PKG
6 Versions inestables
6 Instal·lació des de contenidors
7 Instal·lació de la interfície Web
1 Actualitzar des de les fonts
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
3 Actualització des dels contenidors
1 Problemes de compilació
10 Modificacions de les plantilles
11 Notes d'actualització per 7.0.0
12 Notes d'actualització per 7.0.1
13 Notes d'actualització per 7.0.2
14 Notes d'actualització per 7.0.3
15 Notes d'actualització per 7.0.4
1 Connexió i configuració d'usuari
2 Nou equip
3 Element nou
4 Nou trigger
5 Rebre una notificació de problema
6 Plantilla nova
6. Aplicació Zabbix
1 Configuració d'un equip
2 Inventari
3 Actualització massiva
1 Format de clé clau d'element
2 Intervals personalitzats
1 Proves de preprocessament
2 Detalls de preprocessament
3 Exemples de preprocessament
1 Escapar caràcters especials dels valors de macro LLD a JSONPath
1 Objectes JavaScript addicionals
2 Objectes JavaScript d'elements del navegador
6 Preprocessament CSV cap a JSON
1 Agent Zabbix 2
2 Agent de Windows Zabbix
1 Index dinàmics
2 OID especials
3 Arxius MIB
3 SNMP trap
4 Verificacions IPMI
1 Elements clau de monitoratge VMware
6 monitoratge de l'arxiu de registre
1 Càlculs agregats
8 Verificacions internes
9 Verificacions SSH
10 Verificacions Telnet
11 Verificacions externes
12 Elements trapper
13 Monitoratge JMX
14 Monitoratge ODBC
15 Elements dependents
16 Agent HTTP
17 Verificacions Prometheus
18 Elements d'script
19 Elements del navegador
4 Històric i tendències
1 Extensions dels agents Zabbix
6 Comptadors de rendiment de Windows
7 Actualització massiva
8 Mapatge de valors
9 Cua
10 Cau de valor
11 Executar ara
12 Restringir les verificacions de l'agent
1 Configurant un trigger
2 Expressió de trigger
3 Dependència dels triggers
4 Gravetat dels triggers
5 Personalització de la gravetat dels triggers
6 Actualització massiva
7 Funcions predictives de triggers
1 Generació d'esdeveniments per trigger
2 Altres fonts d'esdeveniments
3 Tancament manual dels problemes
1 Correlació d'esdeveniments basats en triggers
Correlació global d'esdeveniments
6 Etiquetat
1 Gràfics senzills
2 Gràfics personalitzats
3 Gràfics ad-hoc
4 Agregació als gràfics
1 Configurar un mapa de xarxa
2 elements del grup d'equips
3 Indicadors d'enllaços
3 Taulers de control
1 Configuració d'una plantilla
2 Enllaçar/desenllaçar
3 Niuatge
4 Actualització massiva
1 Funcionament de la plantilla d'agent Zabbix
2 Funcionament de la plantilla de l'agent Zabbix 2
3 Operació de plantilla HTTP
5 Operació de plantilla JMX
6 Operació de plantilla ODBC
7 Plantilles estandarditzades per a dispositius de xarxa
8 Operació de plantilla de VMware
Operació de plantilla IPMI
1 Correu-e
2 SMS
3 Scripts d'alerta personalitzats
1 Exemples d'scripts de Webhook
1 Condicions
1 Enviament de missatges
2 Comandes remotes
3 Operacions addicionals
4 Emprar macros a missatges
3 Operacions de recuperació
4 Operacions d'actualització
5 Escalades
3 Recepció de notificacions per els elements no admesos
1 Funcions macro
2 Macros d'usuari
3 Macros d'usuari amb context
4 Macros secretes d'usuari
5 Macros de descoberta de baix nivell
6 Macros d'expressió
1 Configurant un usuari
2 Permissos
3 Grups d'usuaris
2 Configuració de HashiCorp
Configuració de CyberArk
14 Informes programats
1 Exportació a arxius
2 Streaming a sistemes externs
3 passarel·la SNMP
1 Arbre de serveis
2 SLA
3 Exemple de configuració
1 Elements de monitoratge web
2 Escenari de la vida real
1 Elements clau de monitoratge VMware
2 Camps clau de descoberta de màquines virtuals
3 Exemples de JSON per elements VMware
4 Exemple de configuració de monitoratge de VMware
11. Manteniment
12. Expressions regulars
1 Esborrar el problema
1 Grups de plantilles
2 Grups d'equips
3 Plantilles
4 Equips
5 Mapes de xarxa
6 Tipus de suport
1 Configurant una regla de descoberta de xarxa
2 Enregistrament automàtic d'agent actiu
1 Prototip d'element
2 Prototips de triggers
3 Prototipus de gràfics
4 Prototips d'equips
5 Notes sobre la descoberta de baix nivell
1 Descoberta de sistemes d'arxius muntats
2 Descoberta de les interfícies de xarxa
3 Descoberta de CPUs i nuclis de CPU
4 Descoberta de OIDs SNMP
5 Descoberta de OIDs SNMP (legacy)
6 Descoberta d'objectes JMX
7 Descoberta de sensors IPMI
8 Descoberta de serveis systemd
9 Descoberta de serveis de Windows
10 Descoberta d'instàncies de comptador de rendiment de Windows
11 Descoberta emprant consultes WMI
12 Descoberta emprant consultes ODBC SQL
13 Descoberta emprant dades de Prometheus
14 Descoberta de perifèric de bloc
15 Descoberta d'interfícies d'equips a Zabbix
7 Regles LLD personalitzades
1 Configuració de la sincronització del monitoratge
2 Balanceig de càrrega i alta disponibilitat del proxy
1 Emprant certificats
2 emprant claus pre-compartides
1 Tipus de connexió o problemes de permisos
2 Problemes de certificat
3 Problemes PSK
1 Menú d'esdeveniments
2 Menú d'equip
3 Menú d'element
1 Registre d'accions
2 Rellotge
3 Vista general de les dades
4 Estat de descoberta
5 Gràfics preferits
6 Mapes preferits
7 Calibre
8 Geomapes
9 Gràfic
10 Gràfic (clàssic)
11 Prototipus de gràfic
12 Bresca
13 Disponibilitat de l'equip
14 Navegador d'equips
15 Historial d'elements
16 Navegador d'elements
17 Problemes
17 Valor de l'element
18 Mapa
19 Arbre de navegació del mapa
20 Gràfic de pastís
21 Equips amb problemes
23 Problemes per gravetat
24 Informe SLA
25 Informació del sistema
26 Equips principals
27 Triggers principals
28 Vista general del trigger
29 URL
30 Monitoratge Web
1 Problemes de causa i símptomes
1 Gràfics
2 Taulers d'equips
3 Escenaris web
3 Darreres dades
4 Mapes
5 Descoberta
1 Serveis
2 SLA
3 SLA report
1 Vista general
2 Equips
1 Informació del sistema
2 Informes programats
3 Informe de disponibilitat
4 Els 100 triggers principals
5 Registre d'auditoria
6 Registre d'accions
7 Notificacions
1 Grups de plantilles
2 Grups d'equips
1 Elements
2 Triggers
3 Gràfics
1 Prototips d'elements
2 Prototips de triggers
3 Prototips de gràfics
4 Prototips d'equips
5 Escenaris web
1 Elements
2 Triggers
3 Gràfics
1 Prototips d'elements
2 Prototips de triggers
3 Prototips de gràfics
4 Prototips d'equips
5 Escenaris web
5 Manteniment
6 Correlació d'esdeveniments
7 Descoberta
1 Accions
2 Tipus de suport
3 Scripts
1 Grups d'usuaris
2 Rols d'usuari
3 Usuaris
4 Tokens de l'API
1 HTTP
2 LDAP
3 SAML
4 MFA
1 General
2 Registre d'auditoria
3 Neteja de registres
4 Proxys
5 Grups de proxys
6 Macros
7 Cua
1 Notificacions globals
2 Sons dels navegadors
4 Cerca global
5 Mode de manteniment de la interfície Web
6 Paràmetres de la pàgina
7. Definicions
8 Crear el vostre propi tema
9 Mode de depuració
10 Cookies emprades per Zabbix
11 Fusos horaris
12 Restablir el mot de pas
13 Selector de període de temps
Objecte d'acció
acció.crear
acció.esborrar
action.get
action.update
Objecte alerta
alert.get
Objecte d'autenticació
authentication.get
authentication.update
Objecte d'autoregistre
autoregistration.get
autoregistration.update
configuration.export
configuration.import
configuration.importcompare
Objecte configuració
settings.get
settings.update
Objecte connector
actualització del connector
connector.delete
connector.get
creació del connector
Objecte de correlació
correlation.delete
correlation.get
correlation.update
Creació de correlació
Objecte directori d'usuaris
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
Objecte element
item.create
item.delete
item.get
item.update
Objecte gràfic
graphitem.get
Objecte equip
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
Objecte d'equip descobert
dhost.get
Objecte d'escenari web
httptest.create
httptest.delete
httptest.get
httptest.update
Objecte esdeveniment
event.acknowledge
event.get
Objecte d'expressió regular
regexp.create
regexp.delete
regexp.get
regexp.update
Objecte Grup d'equips
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
Objecte grup d'usuaris
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
Objecte grup de plantilles
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
Objecte Grup de proxys
proxygroup.create
proxygroup.delete
proxygroup.get
proxygroup.update
Objecte gràfic
graph.create
graph.delete
graph.get
graph.update
Objecte historial
history.clear
history.get
history.push
Objecte imatge
image.create
image.delete
image.get
image.update
apiinfo.version
Objecte informe
report.create
report.delete
report.get
report.update
Objecte interfície d'equip
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
Objecte de macros d'usuaris
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
Objecte manteniment
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
Objecte de manteniment
housekeeping.get
housekeeping.update
Objecte mapa
map.create
map.delete
map.get
map.update
Objecte mapa d'icones imatge
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
Objecte mapa de valors
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
Objecte MFA
mfa.create
mfa.delete
mfa.get
mfa.update
Objecte mpodul
module.create
module.delete
module.get
module.update
Objecte de node d'alta disponibilitat
hanode.get
Objecte plantilla
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
Objecte problema
problem.get
Objecte prototip d'elements
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
Objecte prototip d'equips
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
Objecte prototip de gràfic
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
Objecte prototip de trigger
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
Objecte proxy
proxy.create
proxy.delete
proxy.get
proxy.update
Objecte de registre d'auditoria
auditlog.get
Objecte de regla de descoberta
drule.create
drule.delete
drule.get
drule.update
Objecte de regla LLD
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
Objecte rol
role.create
role.delete
role.get
role.update
Objecte script
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
Objecte servei
service.create
service.delete
service.get
service.update
Objecte de servei de descoberta
dservice.get
Objecte SLA
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> Objecte tasca
task.create
task.get
Objecte de tauler
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
1 Registre d'accions
2 Rellotge
3 Vista general de les dades
4 Estat de descoberta
5 Gràfics preferits
6 Mapes preferits
7 Indicador
8 Geomapes
9 Gràfic
10 Gràfic (clàssic)
11 Prototipus de gràfic
12 Bresca
13 Disponibilitat de l'equip
14 Navegador d'equips
15 Historial d'elements
16 Navegador d'elements
17 Valor de l'element
18 Mapa
19 Arbre de navegació del mapa
20 Gràfic de pastís
21 Equips amb problemes
22 Problemes
23 Problemes per gravetat
24 Informe SLA
25 Informació del sistema
26 Equips principals
27 Triggers principals
28 Vista general del trigger
29 URL
30 Monitoratge Web
Objecte plantilla de tauler
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
Objecte tendència
trend.get
Objecte de tipus de suport
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
Objecte token
token.create
token.delete
token.generate
token.get
token.update
Objecte trigger
trigger.create
trigger.delete
trigger.get
trigger.update
Objecte usuari
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.provision
user.resettotp
user.unblock
user.update
Objecte test de descoberta
dcheck.get
Apèndix 1. Comentari de referència
Apèndix 2. Canvis de la 6.4 a 7.0
Apèndix 3. Canvis a la 7.0
1 Mòduls carregables
1 Construir plugins carregables
3 Mòduls d'interfície
1 Creació de la base de dades
2 Reparant el joc de caràcters i la col·lació de la base de dades de Zabbix
3 Actualització de la base de dades envers les claus primàries i tipus de dades de doble precisió
4 Preparant la taula d'auditoria per a la partició
1 configuració del xifrat MySQL
2 configuració del xifrat PostgreSQL
6 Configuració TimescaleDB
7 Configuració d'Elasticsearch
8 Notes específiques de la distribució sobre la configuració d'Nginx per a Zabbix
9 Executar l'agent com a root
10 Agent Zabbix per a Microsoft Windows
11 Suport SAML amb Microsoft Azure AD
12 Configuració de SAML amb Okta
13 Configuració de SAML amb OneLogin
14 Configuració de la base de dades Oracle
15 Configuració dels informes programats
16 Llengües d'interfície Web addicionals
1 Servidor Zabbix
2 proxy Zabbix
3 Zabbix agent (UNIX)
4 Zabbix agent 2 (UNIX)
5 Zabbix agent (Windows)
6 Zabbix agent 2 (Windows)
1 Plugin Ceph
2 Plugin de Docker
3 Plugin Ember+
4 Plugin Memcached
5 Plugin Modbus
6 Plugin MongoDB
7 Plugin MQTT
8 MSSQL plugin
9 Plugin de MySQL
10 Plugin d'Oracle
11 Plugin de PostgreSQL
12 Plugin de Redis
13 Plugin Smart
8 Passarel·la Java Zabbix
9 Web service Zabbix
10 Inclusió
1 Protocol de bescanvi de dades servidor-proxy
2 Protocol de l'agent/agent2 Zabbix
4 Protocol del plug-in agent Zabbix 2
5 Protocol del sender de Zabbix
6 Capçalera
7 Protocol d'exportació en temps real
1 Paràmetres vm.memory.size
2 Verificacions dels agents actius i passius
3 Nivell mínim de permisos per als elements de l'agent Windows
4 Codificació dels valors retornats
5 Suport de fitxers grans
6 Sensor
7 Notes sobre el paràmetre memtype dels elements proc.mem
8 Notes sobre la selecció de processos als elements proc.mem i proc.num
9 Detalls d'implementació de les verificacions net.tcp.service i net.udp.service
10 paràmetres proc.get
11 Paràmetres de la interfície de l'equip inaccessibles/indisponibles
12 Monitoratge remot de es estadístiques de Zabbix
13 Configurar Kerberos amb Zabbix
14 Paràmetres de modbus.get
15 Creació de noms de comptadors de rendiment personalitzats per VMware
16 Valors de retorn per a system.sw.packages.get
17 Valors de retorn per a net.dns.get
1 Funcions Foreach
2 Funciones binàries
3 Funcions de data i hora
4 Funcions d'historial
5 Funcions de tendència
6 Funcions matemàtiques
7 Funcions de l'operador
8 Funcions de predicció
9 Funcions de cadena
1 Macros admeses:
2 Macros d'usuaris admeses per ublicació
8 Símbols d'unitats
9 Sintaxi del període de temps
10 Execució de comanda
11 Compatibilitat de versió
12 Gestió dels errors de base de dades
13 Biblioteca d'enllaços dinàmics del remitent Zabbix per a Windows
14 Biblioteca de Python per a l'API Zabbix
15 Actualització del monitoratge dels serveis
16 Altres problemes
17 Diferències entre l'agent i l'agent 2
18 Exemples d'escapament
1. Monitorar Linux amb l'agent Zabbix
2 Monitorar Windows amb l'agent Zabbix
3. Monitoratge via Apache HTTP
4 Monitorar MySQL amb l'agent 2 de Zabbix
5 Monitorar VMware amb Zabbix
6 Monitorar el trànsit de xarxa amb Zabbix
7 Monitoratge del trànsit de xarxa mitjançant comprovacions actives
8 Monitoreu llocs web amb elements del navegador
manifest.json
Accions
Vistes
Actius
Registrar un mòdul nou
Configuració
Presentació
Crear un mòdul (tutorial)
Crear un giny (tutorial)
Exemples
Exemples
Crear un plugin (tutorial)
Interficies plugin
Canvis en el desenvolupament de les extensions
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

1 Emprant certificats

Vista general

Zabbix pot emprar certificats RSA en format PEM, signats per una autoritat de certificació (CA) pública o interna.

La verificació del certificat es realitza en una CA de certificat preconfigurada. Opcionalment es poden emprar les llistes de revocació de certificats (CRL).

Cada component Zabbix només pot tindre un certificat configurat.

Per obtindre més informació sobre la configuració i l'ús de l'autoritat de certificació interna, la generació de peticions de certificats i la seva signatura, la revocació de certificats, trobareu un gran nombre de manuals d'usuari en línia, per exemple, [OpenSSL PKI Tutorial v2.0] (http://pki-tutorial.readthedocs.org/en/latest/).

Reviseu i proveu amb cura les extensions de certificat.

Veieu les Limitacions a les extensions de certificat X.509 v3 per obtindre més detalls.

Paràmetres de configuració del certificat

Paràmetre Obligatori Descripció
TLSCAFile Camí complet a un fitxer que conté els certificats de nivell superior de CA per a la verificació de certificats entre iguals.
En cas d'una cadena de certificats amb diversos membres, s'han d'ordenar: primer els certificats de CA de nivell inferior, seguits de certificats de nivell superior.
Els certificats de diverses CA es poden incloure en un sol fitxer.
TLSCRLFile no Camí complet a un fitxer que conté llistes de revocació de certificats. Veieu Llistes de revocació de certificats (CRL).
TLSCertFile yes Camí complet d'un fitxer que conté un certificat (cadena de certificats).
En el cas d'una cadena de certificats amb diversos membres, s'han d'ordenar: primer certificat de servidor, certificat de proxy o agent, seguit de certificats d'inferior nivell i després certificats de CA de nivell superior.
TLSKeyFile yes Camí complet d'un fitxer que conté una clau privada.
Assegureu-vos que l'arxiu és lde lectura només per a l'usuari Zabbix, establint els drets d'accés convenients.
TLSServerCertIssuer no Emissor del certificat del servidor es permet.
TLSServerCertSubject no Titular autoritzat del certificat del servidor.

Exemples de configuració

Després de configurar els certificats necessaris, configureu els components de Zabbix per utilitzar el xifrat basat en certificats.

Tot seguit es mostren les passes detallades per a la configuració:

Configurant un certificat al servidor Zabbix

1. Per tal de verificar els certificats dels parells, el servidor Zabbix ha de tindre accés al fitxer amb els seus certificats de CA arrel autosignats de primer nivell. Per exemple, si esperem certificats de dues CA arrel independents, podem posar els seus certificats al fitxer /home/zabbix/zabbix_ca_file:

```
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ...
       -----BEGIN CERTIFICATE-----
       MIID2jCCAsKgAwIBAgIBATANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ....
       9wEzdN8uTrqoyU78gi12npLj08LegRKjb5hFTVmO
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ....
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ....       
       -----BEGIN CERTIFICATE-----
       MIID3DCCAsSgAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQB
       ...
       vdGNYoSfvu41GQAR5Vj5FnRJRzv5XQOZ3B6894GY1zY=
       -----END CERTIFICATE-----
       ```

2. Poseu la cadena de certificats del servidor Zabbix a un arxiu, com ara /home/zabbix/zabbix_server.crt:

```ini
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix server
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                       ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Digital Signature, Key Encipherment
                   X509v3 Basic Constraints: 
                       CA:FALSE
                   ...
       -----BEGIN CERTIFICATE-----
       MIIECDCCAvCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk
       ...
       h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ==
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 2 (0x2)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE, pathlen:0
               ...
       -----BEGIN CERTIFICATE-----
       MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ...
       dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw==
       -----END CERTIFICATE-----

       Aquí el primer és el certificat del servidor Zabbix, seguit del certificat de la CA intermitja.

       :::noteclassic
       Es desaconsella l'ús de qualsevol atribut, excepte els esmentats anteriorment, tant per als certificats de client com de servidor, perquè pot afectar el procés de verificació del certificat. Per exemple, l'OpenSSL pot no establir una connexió xifrada si s'estableix *X509v3 Extended Key Usage* o *Netscape Cert Type*. Veieu també: [Limitacions en l'ús de les extensions de certificat X.509 v3](/manual/encryption/using_certificates#limitations_on_using_x509_v3_certificate_extensions).
       :::

       3\. Poseu la clau privada del servidor Zabbix a un arxiu, com ara `/home/zabbix/zabbix_server.key`:

        ```
        -----BEGIN PRIVATE KEY-----
        MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl
        ...
        IJLkhbybBYEf47MLhffWa7XvZTY=
        -----END PRIVATE KEY-----
        ```

       4\. Editeu els paràmetres TLS a l'arxiu de configuració del servidor Zabbix, amb aquest valors:

       ```ini
        TLSCAFile=/home/zabbix/zabbix_ca_file
        TLSCertFile=/home/zabbix/zabbix_server.crt
        TLSKeyFile=/home/zabbix/zabbix_server.key

Proxy Zabbix

1. Prepareu fitxers amb certificats de CA de primer nivell, certificat de proxy (cadena) i clau privada tal com es descriu a Configuració del certificat al servidor Zabbix. Modifiqueu els paràmetres TLSCAFile, TLSCertFile, TLSKeyFile a la configuració del proxy en conseqüència.

2. Editeu els paràmetres adicionals a l'arxiu de configuració del proxy Zabbix:

  • Per al proxy actiu: TLSConnect=cert

  • Per a un proxy passiu: TLSAccept=cert

Per millorar la seguretat del proxy, podeu configurar els paràmetres TLSServerCertIssuer i TLSServerCertSubject. Per a més informació, veieu les restriccions permeses de l'emissor i de l'assumpte.

Al fitxer de configuració del proxy final, la configuració de TLS podria semblar així:

```ini
        TLSConnect=cert
        TLSAccept=cert
        TLSCAFile=/home/zabbix/zabbix_ca_file
        TLSServerCertIssuer=CN=Signing CA,OU=Grup de desenvolupament,O=Zabbix SIA,DC=zabbix,DC=com
        TLSServerCertSubject=CN=Servidor Zabbix,OU=Grup de desenvolupament,O=Zabbix SIA,DC=zabbix,DC=com
        TLSCertFile=/home/zabbix/zabbix_proxy.crt
        TLSKeyFile=/home/zabbix/zabbix_proxy.key
       ```

3. Configureu el xifrat per a aquest proxy a la interfície Zabbix:

  • Aneu a: Administració → Proxys
  • Trieu un proxy i feu clic a la pestanya Xifrat

En els exemples següents, s'emplenen els camps Emissor i Assumpte. Veieu a restricció d'emissor i subjecte permesos per què i com emprar aquests camps.

Per a un proxy actiu:

Per a un proxy passiu:

Agent Zabbix

1. Prepareu fitxers amb certificats de CA de nivell superior, certificat d'agent (cadena) i clau privada tal com es descriu a la configuració del certificat al servidor Zabbix. Modifiqueu els paràmetres TLSCAFile, TLSCertFile, TLSKeyFile a l'arxiu de configuració de l'agent Zabbix com pertoqui.

2. Editeu els paràmetres TLS addicionals a l'arxiu de configuració de l'agent Zabbix:

  • Per al monitoratge actiu: TLSConnect=cert

  • Per al monitoratge passiu: TLSAccept=cert

Podeu millorar la seguretat de l'agent configurant els paràmetres TLSServerCertIssuer' iTLSServerCertSubject` (veieu Restricció de l'emissor i del assumpte permesos).

Els paràmetres TLS a la configuració final de l'agent serien com tot seguit. Fixeu-vos que l'exemple assumeix que l'equip és monitorat per un proxy; per tant, s'especifica com a Assumpte el certificat:

```ini
        TLSConnect=cert
        TLSAccept=cert
        TLSCAFile=/home/zabbix/zabbix_ca_file
        TLSServerCertIssuer=CN=Signing CA,OU=Grup de desenvolupament,O=Zabbix SIA,DC=zabbix,DC=com
        TLSServerCertSubject=CN=Proxy Zabbix,OU=Grup de desenvolupament,O=Zabbix SIA,DC=zabbix,DC=com
        TLSCertFile=/home/zabbix/zabbix_agentd.crt
        TLSKeyFile=/home/zabbix/zabbix_agentd.key
       ```

3. Configureu el xifrat per a aquest agent a la interfície Zabbix:

  • Aneu a: Recull de dades → Equips
  • Trieu l'equip i feu clic a la pestanya Xifrat

A l'exemple següent, s'emplenen els camps Emissor i Assumpte. Veieu a restricció de l'emissor i l'assumpte permesos per què i com emprar aquests camps.

Servei web Zabbix

1. Prepareu fitxers amb els certificats de CA de nivell superior, el certificat/cadena de certificats del servei web Zabbix i la clau privada tal com es descriu a la secció Servidor Zabbix. A continuació, editeu els paràmetres TLSCAFile, TLSCertFile i TLSKeyFile al fitxer de configuració del servei web Zabbix en conseqüència.

2. Editeu un paràmetre TLS addicional al fitxer de configuració del servei web Zabbix: TLSAccept=cert

Els paràmetres TLS del fitxer de configuració del servei web final poden tindre el següent aspecte:

TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_web_service.crt
       TLSKeyFile=/home/zabbix/zabbix_web_service.key

3. Configureu el servidor Zabbix per connectar-se al servei web Zabbix configurat per TLS editant el paràmetre WebServiceURL al fitxer de configuració del servidor Zabbix:

WebServiceURL=https://example.com

Restricció de l'emissor i receptor autoritzats

Quan dos components (per exemple, el servidor Zabbix i l'agent) estableixen una connexió TLS, cadascun comprova els certificats de l'altre. Si un certificat igual signat per una CA de confiança (amb un certificat de nivell superior preconfigurat a TLSCAFile) és vàlid, no ha caducat i passa més comprovacions, la comunicació pot continuar. L'emissor i el subjecte del certificat no es comprova en aquest cas més senzill.

Hi ha el risc que qualsevol persona amb un certificat vàlid pugui suplantar la identitat d'una altra persona (per exemple, es pot emprar un certificat d'equip per suplantar la identitat d'un servidor). Això pot ser acceptable en entorns petits on els certificats són signats per una CA interna dedicada i el risc de suplantació d'identitat és baix.

Si la vostra CA de nivell superior s'empra per emetre altres certificats que Zabbix no hauria d'acceptar o si voleu reduir el risc de falsificació, podeu restringir els certificats permesos especificant-ne el remitent i l'assumpte.

Per exemple, podeu escriure al fitxer de configuració del proxy Zabbix:

     TLSServerCertIssuer=CN=Signing CA,OU=Grup de desenvolupament,O=Zabbix SIA,DC=zabbix,DC=com
            TLSServerCertSubject=CN=Servidor Zabbix,OU=Grup de desenvolupament,O=Zabbix SIA,DC=zabbix,DC=com

Amb aquesta configuració, el proxy actiu no es comunicarà amb el servidor Zabbix amb una cadena d'emissor o una cadena de subjecte diferent al certificat, i el proxy passiu no acceptarà peticions d'aquest servidor.

Regles per fer coincidir les cadenes Emissor i Assumpte

Les regles per fer coincidir les cadenes Emissor i Assumpte són les següents:

  • Les cadenes Emissor i Assumpte es comproven de manera independent. Tots dos són opcionals.
  • Una cadena no especificada significa que s'accepta qualsevol cadena.
  • Les cadenes es comparen tal com estan i han de coincidir exactament.
  • S'admeten caràcters UTF-8. Tanmateix, no s'admeten els comodins (*) ni les expressions regulars.
  • S'implementen els requisits RFC 4514 següents: caràcters que requereixen escapar (amb una barra invertida '\', U+005C):
    • en qualsevol lloc de la cadena: '"' (U+0022), '+' (U+002B), ',' (U+002C), ';' (U+003B), '<' (U+003C), '>' (U+003E), '`\'' (U+005C);
    • al començament de la cadena: espai (' ', U+0020) o signe de número (''#'', U+0023);
    • al final de la cadena: espai (' ', U+0020).
  • Els caràcters nuls (U+0000) no s'admeten. Si es troba un caràcter nul, la concordança fallarà.
  • Els estàndards RFC 4517 i RFC 4518 no són pas compatibles.

Per exemple, si les cadenes d'organització Emissor i Assumpte (O) contenen espais al final i la cadena de la unitat organitzativa Assumpte (OU) conté cometes dobles, aquests caràcters s'han d'escapar:

TLSServerCertIssuer=CN=Signing CA,OU=Cap de desenvolupament,O=\ Exemple SIA\ ,DC=exemple,DC=com
       TLSServerCertSubject=CN=Servidor Zabbix,OU=Grup de desenvolupament \"5\",O=\ Exemple SIA\ ,DC=exemple,DC=com
Ordre i format dels camps

Zabbix segueix les recomanacions de RFC 4514, que especifica un ordre "invers" per a aquests camps, començant pels camps de nivell més baix (CN), continuant als camps de nivell mig (OU, O) i concloent amb els camps de nivell més alt (DC).

TLSServerCertIssuer=CN=Signing CA,OU=Grup de desenvolupament,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Proxy Zabbix,OU=Grup de desenvolupament,O=Zabbix SIA,DC=zabbix,DC=com

En canvi, OpenSSL mostra per defecte les cadenes Emissor i Assumpte en ordre de nivell superior a nivell inferior. A l'exemple següent, els camps Emissor i Assumpte comencen al nivell superior ("DC") i acaben amb el camp de nivell inferior ("CN"). El format amb espais i separadors de camps també varia en funció de les opcions emprades i, per tant, no coincidirà amb el format requerit per Zabbix.

$ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject
       issuer= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Grup de desenvolupament/CN=Signing CA
       subject= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Grup de desenvolupament/CN=Proxy Zabbix
       
       $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt
       Certificate:
           ...
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Grup de desenvolupament, CN=Signing CA
               ...
               Subect: DC=com, DC=zabbix, O=Zabbix SIA, OU=Grup de desenvolupament, CN=proxy Zabbix

Per formatar correctament les cadenes Emissor i Subject per a Zabbix, invoqueu OpenSSL amb les opcions següents:

$ openssl x509 -noout -issuer -subject \
           -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname\
           -a /home/zabbix/zabbix_proxy.crt

Aleshores, la sortida estarà en ordre invers, separada per comes i es podrà emprar als fitxers de configuració i a la interfície de Zabbix:

issuer= CN= Signatura CA, OU= grup de desenvolupament, O= Zabbix SIA, DC=zabbix, DC=com
       subject= CN=proxy Zabbix,OU=Grup de desenvolupament,O=Zabbix SIA,DC=zabbix,DC=com

Limitacions en l'ús de les extensions de certificat X.509 v3

Quan s'implementen certificats X.509 v3 dins de Zabbix, és possible que algunes extensions no siguin totalment compatibles o poden provocar un comportament inconsistent.

Extensió Subject Alternative Name

Zabbix no admet l'extensió Subject Alternative Name, que s'empra per especificar noms DNS alternatius, com ara adreces IP o adreces de correu electrònic. Zabbix només pot validar el valor del camp Assumpte del certificat (vegeu Restricció de l'emissor i l'assumpte de certificats permesos). Si els certificats inclouen el camp subjectAltName, el resultat de la validació del certificat pot variar en funció dels conjunts d'eines de criptografia específics utilitzats per compilar components Zabbix. Com a resultat, Zabbix pot acceptar o rebutjar certificats basats en aquestes combinacions.

Extensió Extended Key Usage

Zabbix admet l'extensió Extended Key Usage. Tanmateix, si s'empra, generalment es requereix que s'especifiquin tant els atributs clientAuth (per a l'autenticació de client TLS WWW) com serverAuth (per a l'autenticació de servidor TLS WWW). Per exemple:

  • A les comprovacions passives, on l'agent Zabbix funciona com a servidor TLS, l'atribut serverAuth s'ha d'incloure al certificat de l'agent.
  • A les comprovacions actives, on l'agent opera com a client TLS, l'atribut clientAuth s'ha d'incloure al certificat de l'agent.

Tot i que GnuTLS pot emetre un avís per infraccions d'ús de claus, normalment permet que la comunicació continuï malgrat aquests avisos.

Extensió Name Constraints

El suport per a l'extensió Name Constraints varia entre els kits d'eines de criptografia. Assegureu-vos que el conjunt d'eines que trieu admet aquesta extensió. Aquesta extensió pot restringir Zabbix de carregar certificats de CA si aquesta secció és marcada com a crítica, depenent del conjunt d'eines específic que s'empra.

Llistes de revocació de certificats (CRL)

Si un certificat és compromès, l'autoritat de certificació pot revocar-lo incloent-lo a la llista de revocació de certificats. Els CRL es poden configurar al fitxer de configuració del servidor, el proxy i l'agent mitjançant el paràmetre TLSCRLFile. Per exemple:

     TLSCRLFile=/home/zabbix/zabbix_crl_file

on zabbix_crl_file pot contindre llistes de revocació de certificats de diverses autoritats de certificació i assemblar-se a:

     -----BEGIN X509 CRL-----
            MIIB/DCB5QIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixkARkWA2Nv
            ...
            treZeUPjb7LSmZ3K2hpbZN7SoOZcAoHQ3GWd9npuctg=
            -----END X509 CRL-----
            -----BEGIN X509 CRL-----
            MIIB+TCB4gIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQBGRYDY29t
            ...
            CAEebS2CND3ShBedZ8YSil59O6JvaDP61lR5lNs=
            -----END X509 CRL-----

El fitxer CRL només es carrega a l'inici de Zabbix. L'actualització de la llista de revocació de certificats requereix un reinici.

Si el component Zabbix es compila amb OpenSSL i s'empren llistes de revocació de certificats, cada CA de nivell superior i mitjà de les cadenes de certificats ha de tindre una llista de revocació de certificats (pot ésser buida) a TLSCRLFile.

© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy