Documentation

This is a translation of the original English documentation page. Help us make it better.
1 Ручна структура
2 Шта је Zabbix
3 Zabbix карактеристике
4 Zabbix преглед
5 Шта је ново у Zabbix-у 7.0.0
6 Шта је ново у Zabbix-у 7.0.1
7 Шта је ново у Zabbix-у 7.0.2
8 Шта је ново у Zabbix-у 7.0.3
9 Шта је ново у Zabbix-у 7.0.4
10 Шта је ново у Zabbix-у 7.0.5
11 Шта је ново у Zabbix-у 7.0.6
12 Шта је ново у Zabbix-у 7.0.7
13 What's new in Zabbix 7.0.8
2 Definitions
1 Висока доступност
2 Агент
3 Агент 2
4 Прокси
1 Подешавање из извора
2 Подешавање из RHEL пакета
3 Подешавање из Debian/Ubuntu пакета
6 Пошиљалац
7 Get
8 JS
9 Веб услуга
1 Преузимање Zabbix
1 Зависности PostgreSQL додатака
2 Зависности MongoDB додатака
1 Building Zabbix agent on Windows
2 Изградња Zabbix агента 2 на Windows-у
3 Building Zabbix agent on macOS
1 Red Hat Enterprise Linux и деривати
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise Server
4 Windows agent installation from MSI
5 Инсталација Mac OS агента из PKG-а
6 Нестабилна издања
6 Installation from containers
6 Инсталација веб интерфејса
1 Надоградња из извора
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
3 Надоградња из контејнера
1 Проблеми са компилацијом
10 Промене шаблона
11 Напомене о надоградњи за 7.0.0
12 Напомене о надоградњи за 7.0.1
13 Напомене о надоградњи за 7.0.2
14 Напомене о надоградњи за 7.0.3
15 Напомене о надоградњи за 7.0.4
16 Напомене о надоградњи за 7.0.5
17 Напомене о надоградњи за 7.0.6
18 Напомене о надоградњи за 7.0.7
19 Напомене о надоградњи за 7.0.8
1 Пријава и конфигурисање корисника
2 Нови домаћин
3 Нова ставка
4 Нови окидач
5 Примање обавештења о проблему
6 Нови шаблон
6 Zabbix appliance
1 Конфигурисање домаћина
2 Inventory
3 Масовно ажурирање
1 Item key format
2 Custom intervals
1 Preprocessing testing
2 Preprocessing details
3 Preprocessing examples
1 Escaping special characters from LLD macro values in JSONPath
1 Additional JavaScript objects
2 Browser item JavaScript objects
6 CSV to JSON preprocessing
1 Zabbix agent 2
2 Windows Zabbix agent
1 Dynamic indexes
2 Special OIDs
3 MIB files
3 SNMP traps
4 IPMI checks
1 VMware monitoring item keys
6 Log file monitoring
1 Aggregate calculations
8 Internal checks
9 SSH checks
10 Telnet checks
11 External checks
12 Trapper items
13 JMX monitoring
14 ODBC monitoring
15 Dependent items
16 HTTP agent
17 Prometheus checks
18 Script items
19 Browser items
4 History and trends
1 Extending Zabbix agents
6 Windows performance counters
7 Mass update
8 Value mapping
9 Queue
10 Value cache
11 Execute now
12 Restricting agent checks
1 Configuring a trigger
2 Trigger expression
3 Trigger dependencies
4 Trigger severity
5 Customizing trigger severities
6 Mass update
7 Predictive trigger functions
1 Окидач за генерисање догађаја
2 Други извори догађаја
3 Ручно затварање проблема
1 Корелација догађаја заснована на окидачу
2 Глобална корелација догађаја
6 Tagging
1 Simple graphs
2 Custom graphs
3 Ad-hoc graphs
4 Aggregation in graphs
1 Configuring a network map
2 Host group elements
3 Link indicators
3 Dashboards
1 Configuring a template
2 Linking/unlinking
3 Nesting
4 Mass update
1 Zabbix agent template operation
2 Zabbix agent 2 template operation
3 HTTP template operation
4 IPMI template operation
5 JMX template operation
6 ODBC template operation
7 Standardized templates for network devices
8 VMware template operation
1 Email
2 SMS
3 Custom alert scripts
1 Webhook script examples
1 Conditions
1 Sending message
2 Remote commands
3 Additional operations
4 Using macros in messages
3 Recovery operations
4 Update operations
5 Escalations
3 Receiving notification on unsupported items
1 Macro functions
2 User macros
3 User macros with context
4 Secret user macros
5 Low-level discovery macros
6 Expression macros
1 Configuring a user
2 Permissions
3 User groups
1 CyberArk configuration
2 HashiCorp configuration
14 Scheduled reports
1 Извези у датотеке
3 СНМП мрежни пролаз
Преглед
1 Стабло услуга
2 SLA
3 Пример подешавања
1 Ставке за праћење веба
2 Сценарио из стварног живота
1 VMware кључеви ставки за надгледање
2 Virtual machine discovery key fields
3 JSON примера за VMware ставке
4 Пример подешавања VMware надгледања
11 Одржавање
12 Регуларни изрази
1 Сузбијање проблема
1 Групе шаблона
2 Групе домаћина
3 Шаблони
4 Домаћини
5 Мрежне мапе
6 Типови медија
1 Конфигурисање правила за откривање мреже
2 Active agent autoregistration
1 Прототипови предмета
2 Прототипови окидача
3 Прототипови графова
4 Прототипови домаћина
5 Напомене о откривању ниског нивоа
1 Discovery of mounted filesystems
2 Discovery of network interfaces
3 Discovery of CPUs and CPU cores
4 Discovery of SNMP OIDs
5 Discovery of SNMP OIDs (legacy)
6 Discovery of JMX objects
7 Discovery of IPMI sensors
8 Откривање системских услуга
9 Откривање Windows услуга
10 Откривање инстанци бројача перформанси Windows-а
11 Откривање помоћу WMI упита
12 Discovery using ODBC SQL queries
13 Discovery using Prometheus data
14 Discovery of block devices
15 Discovery of host interfaces in Zabbix
7 Custom LLD rules
1 Синхронизација конфигурације надгледања
2 Балансирање оптерећења проксија и висока доступност
1 Using certificates
2 Коришћење унапред дељених кључева
1 Проблеми са типом везе или дозволама
2 Проблеми са сертификатом
3 PSK проблеми
1 Мени догађаја
2 Мени домаћина
3 Мени ставки
1 Дневник акција
2 Сат
3 Преглед података
4 Статус откривања
5 Омиљени графици
6 Омиљене мапе
7 Индикатор
8 Геомапа
9 Граф
10 Графикон (класичан)
11 Прототип графа
12 Honeycomb
13 Доступност домаћина
14 Навигатор домаћина
15 Историја ставке
16 Навигатор ставки
17 Вредност ставке
18 Мапа
19 Мапа навигационог стабла
20 Pie графикон
21 Проблем домаћина
22 Проблеми
23 Проблеми по озбиљности
24 SLA извештај
25 Информације о систему
26 Најважнији домаћини
27 Најважнији окидачи
28 Преглед окидача
29 URL
30 Веб надгледање
1 Узрок и проблеми са симптомима
1 Графови
2 Контролне табле домаћина
3 Веб сценарији
3 Најновији подаци
4 Мапе
5 Откривање
1 Услуге
2 SLA
3 SLA извештај
1 Преглед
2 Домаћини
1 Информације о систему
2 Планирани извештаји
3 Извештај о доступности
4 Најбољих 100 окидача
5 Дневник ревизије
6 Дневник акција
7 Обавештења
1 Групе шаблона
2 Групе домаћина
1 Ставке
2 Окидачи
3 Графови
1 Прототипови предмета
2 Прототипови окидача
3 Прототипови графова
4 Прототипови домаћина
5 Веб сценарија
1 Ставке
2 Окидачи
3 Графови
1 Прототипови ставке
2 Прототипови окидача
3 Прототипови графова
4 Прототипови домаћина
5 Веб сценарија
5 Одржавање
6 Корелација догађаја
7 Откривање
1 Акције
2 Типови медија
3 Scripts
1 Групе корисника
2 Улоге корисника
3 Корисници
4 API токени
1 HTTP
2 LDAP
3 SAML
4 MFA
1 Опште
2 Дневник ревизије
3 Одржавање домаћинства
4 Проксији
5 Прокси групе
6 Макрои
7 Ред
1 Глобална обавештења
2 Звук у претраживачима
4 Глобална претрага
5 Режим одржавања корисничког интерфејса
6 Параметри странице
7 Дефиниције
8 Креирање сопствене теме
9 Режим за отклањање грешака
10 Колачићи које користи Zabbix
11 Временске зоне
12 Ресетовање лозинке
13 Селектор временског периода
1 Securing MySQL/MariaDB
2 Securing PostgreSQL/TimescaleDB
3 Securing Oracle
2 Cryptography
3 Web server
2 Најбоље праксе за конфигурацију
LLD објекат правила
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
MFA објекат
mfa.create
mfa.delete
mfa.get
mfa.update
SLA објекат
sla.create
sla.delete
sla.get
sla.getsli
sla.update
Акциони објекат
action.create
action.delete
action.get
action.update
Обjекат упозорења
alert.get
Објекат аутентификације
authentication.get
authentication.update
Ауторегистрациони објекат
autoregistration.get
autoregistration.update
Објекат веб сценарија
httptest.create
httptest.delete
httptest.get
httptest.update
Графички објекат
graph.create
graph.delete
graph.get
graph.update
Графички објекат
graphitem.get
Објекат групе домаћина
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
Објекат корисничке групе
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
Објекат групе шаблона
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
Објекат дневника ревизије
auditlog.get
Објекат догађаја
event.acknowledge
event.get
Објекат домаћина
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
Објекат задатка
task.create
task.get
Пријавите објекат
report.create
report.delete
report.get
report.update
Објекат интерфејса домаћина
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
apiinfo.version
Историја објект
history.clear
history.get
history.push
Објекат конектора
connector.create
connector.delete
connector.get
connector.update
Објекат контролне табле
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
1 Дневник акција
2 Сат
3 Преглед података
4 Статус откривања
5 Омиљени графици
6 Омиљене мапе
7 Индикатор
8 Геомапа
9 Граф
10 Графикон (класичан)
11 Прототип графа
12 Honeycomb
13 Доступност домаћина
14 Host navigator
15 Историја предмета
16 Навигатор ставки
17 Вредност ставке
18 Мапа
19 Мапа навигационог стабла
20 Pie chart
21 Проблем домаћина
22 Проблеми
23 Проблеми по озбиљности
24 SLA извештај
25 Информације о систему
26 Top hosts
27 Најважнији окидачи
28 Преглед окидача
29 URL
30 Web monitoring
configuration.export
configuration.import
configuration.importcompare
Корелациони објекат
correlation.create
correlation.delete
correlation.get
correlation.update
Кориснички објекат
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.provision
user.resettotp
user.unblock
user.update
Објекат корисничког директоријума
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
Објекат макроа корисника
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
Објекат мапе
map.create
map.delete
map.get
map.update
Објекат мапе вредности
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
Икона мапа објекта
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
Објекат модула
module.create
module.delete
module.get
module.update
Објекат одржавања
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
Објекат домаћина
housekeeping.get
housekeeping.update
Окидач објекат
trigger.create
trigger.delete
trigger.get
trigger.update
Откривени сервисни објекат
dservice.get
Discovered host object
dhost.get
Објекат подешавања
settings.get
settings.update
Објекат правила откривања
drule.create
drule.delete
drule.get
drule.update
Проблемски објекат
problem.get
Обjекат за проверу откривања
dcheck.get
Прокси објекат
proxy.create
proxy.delete
proxy.get
proxy.update
Објекат групе прокси
proxygroup.create
proxygroup.delete
proxygroup.get
proxygroup.update
Графички прототип објекта
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
Host prototype object
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
Покрени објекат прототипа
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
Објект прототипа ставке
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
Објекат регуларног израза
regexp.create
regexp.delete
regexp.get
regexp.update
Објекат скрипте
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
Објекат слике
image.create
image.delete
image.get
image.update
Објекат ставке
item.create
item.delete
item.get
item.update
Објекат типа медија
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
Објекат токена
token.create
token.delete
token.generate
token.get
token.update
Објекат тренда
trend.get
Објекат улоге
role.create
role.delete
role.get
role.update
Објекат сервиса
service.create
service.delete
service.get
service.update
Чворни објекат високе доступности
hanode.get
Објекат шаблона
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
Објекат контролне табле шаблона
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
Додатак 1. Референтни коментар
Додатак 2. Промене са 6.4 на 7.0
Додатак 3. Промене у 7.0
1 Модули који се могу учитати
1 Израда додатака који се могу учитати
3 Кориснички интерфјес модули
1 Креирање базе података
2 Преправка скупа карактера и поређења у Zabbix бази података
3 Надоградња базе података на примарне кључеве
4 Припрема auditlog табеле за партиционисање
1 Конфигурација MySQL шифровања
2 Конфигурација PostgreSQL енкрипције
6 TimescaleDB подешавање
7 Elasticsearch подешавање
8 Напомене специфичне за дистрибуцију о подешавању Nginx за Zabbix
9 Покретање агента као root
10 Zabbix агент на Microsoft Windows-у
11 SAML конфигурисање са Microsoft Entra ID-ијем
12 Подешавање SAML-ом са Okta-ом
13 SAML подешавање са OneLogin-ом
14 Подешавање Oracle базе података
15 Надоградња на нумеричке вредности проширеног опсега
16 Подешавање планираних извештаја
17 Додатни језици корисничког интерфејса
1 Zabbix server
2 Zabbix proxy
3 Zabbix agent (UNIX)
4 Zabbix agent 2 (UNIX)
5 Zabbix agent (Windows)
6 Zabbix agent 2 (Windows)
1 Ceph додатак
2 Docker plugin
3 Ember+ plugin
4 Memcached plugin
5 Modbus plugin
6 MongoDB plugin
7 MQTT plugin
8 MSSQL plugin
9 MySQL plugin
10 Oracle plugin
11 PostgreSQL plugin
12 Redis plugin
13 Smart plugin
8 Zabbix Java gateway
9 Zabbix web service
10 Инклузија
1 Сервер-прокси протокол за размену података
2 Zabbix agent/agent2 protocol
4 Zabbix agent 2 plugin protocol
5 Zabbix sender protocol
6 Заглавље
7 Протокол извоза у формате JSON са новим редом
1 параметри vm.memory.size
2 Провере пасивног и активног агента
3 Минимални ниво дозволе за ставке Windows агента
4 Кодирање враћених вредности
5 Подршка за велике датотеке
6 Сензор
7 Напомене о параметру memtype у ставкама proc.mem
8 Напомене о одабиру процеса у proc.mem и proc.num ставкама
9 Детаљи имплементације провера net.tcp.service и net.udp.service
10 proc.get параметри
11 Подешавања за недоступан/непостојећи интерфејс домаћина
12 Даљинско праћење Zabbix статистике
13 Конфигурисање Kerberos-а са Zabbix-ом
14 modbus.get параметри
15 Креирање прилагођених имена бројача перформанси за VMware
16 Повратне вредности за system.sw.packages.get
17 Повратне вредности за net.dns.get
1 Foreach функције
2 Битовске функције
3 Функције датума и времена
4 Функције историје
5 Функције трендова
6 Математичке функције
7 Функције оператора
8 Функције предвиђања
9 Стринг функције
1 Подржани макрои
2 Кориснички макрои подржани од стране локације
7 Unit symbols
8 Time period syntax
9 Извршење команде
10 Компатибилност верзија
11 Руковање грешкама у бази података
12 Zabbix sender dynamic link library for Windows
13 Python library for Zabbix API
14 Service monitoring upgrade
15 Остала питања
16 Поређење агента и агента 2
17 Escaping примери
1 Надгледајте Linux са Zabbix агентом
2 Надгледајте Windows помоћу Zabbix агента
3 Надгледајте Apache преко HTTP-а
4 Надгледајте MySQL са Zabbix агентом 2
5 Надгледајте VMware помоћу Zabbix-а
6 Надгледајте мрежни саобраћај помоћу Zabbix-а
7 Надгледајте мрежни саобраћај користећи активне провере
8 Надгледајте веб локације помоћу ставки претраживача
manifest.json
Акције
Погледи
Assets
Региструјте нови модул
Конфигурација
Презентација
Креирајте модул (водич)
Направите виџет (водич)
Примери
Примери
Интерфејси додатака
Направите додатак (водич)
Промене у развоју екстензија
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_get
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

17 Шифровање

Преглед

Zabbix подржава шифровану комуникацију између Zabbix компоненти користећи Протокол безбедности транспортног слоја (TLS) в.1.2 и 1.3 (у зависности од крипто библиотека). Шифровање засновано на сертификатима и унапред дељеном кључу је подржано.

Шифровање се може конфигурисати за везе:

Шифровање је опционо и може се конфигурисати за појединачне компоненте:

  • Неки проксији и агенти се могу конфигурисати да користе на основу сертификата шифровање са сервером, док други могу да користе унапред дељено шифровање засновано на кључу, а други настављају са нешифрованим комуникације (као и раније)
  • Сервер (прокси) може да користи различите конфигурације шифровања за различитих домаћина

Zabbix демон програми користе један порт за слушање за шифроване и нешифроване долазне везе. Додавање енкрипције није потребно отварање нових портова на заштитним зидовима.

Ограничења

  • Приватни кључеви се чувају у обичном тексту у датотекама које Zabbix чита компоненте током покретања
  • Pre-shared кључеви се уносе у Zabbix кориснички интерфејс и чувају у Zabbix-у база података у обичном тексту
  • Уграђено шифровање не штити комуникацију:
    • Између веб сервера који покреће Zabbix кориснички интерфејс и корисничког веба претраживач
    • Између Zabbix кориснички интерфејс и Zabbix сервера
  • Тренутно се свака шифрована веза отвара са пуним TLS руковањем, нема кеширања сесије и тикети су имплементирани
  • Додавање шифровања повећава време за проверу ставки и радње, у зависности од кашњења мреже:
    • На пример, ако је кашњење пакета 100ms онда отварање TCP-а повезивање и слање нешифрованог захтева траје око 200 мс. Са шифровањем се додаје око 1000ms за успостављање TLS-а веза;
    • Временска ограничења ће можда морати да се повећају, иначе неке ставке и акције које покрећу удаљене скрипте на агентима могу радити са нешифроване везе, али не успевају са временским ограничењем са шифрованим.
  • мрежа не подржава шифровање откриће. Zabbix агент провере извршено откривањем мреже биће нешифровано и ако Zabbix агент је конфигурисан да одбије нешифроване везе као такве провере неће успети.

Компајлирање Zabbix-а са подршком за шифровање

Да би подржао шифровање, Zabbix мора бити компајлиран и повезан са једним од подржане крипто библиотеке:

  • GnuTLS - од верзије 3.1.18
  • OpenSSL - верзије 1.0.1, 1.0.2, 1.1.0, 1.1.1, 3.0.x
  • LibreSSL - тестирано са верзијама 2.7.4, 2.8.2:
    • LibreSSL 2.6.x није подржан
    • LibreSSL је подржан као компатибилна замена за OpenSSL; нове tls_*() функције API-ја специфичне за LibreSSL се не користе. Zabbix компоненте компајлиране са LibreSSL неће моћи да се користе PSK, могу се користити само сертификати.

Можете сазнати више о подешавању SSL-а за Zabbix кориснички интерфејс позивањем на ове најбоље праксе.

Библиотека се бира навођењем одговарајуће опције за "configure" скрипта:

  • --with-gnutls[=DIR]
  • --with-openssl[=DIR] (користи се и за LibreSSL)

На пример, да конфигуришете изворе за сервер и агент са OpenSSL можете користити нешто попут:

./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl

Различите Zabbix компоненте могу се компајлирати са различитим криптовалутама библиотеке (нпр. сервер са OpenSSL, агент са GnuTLS).

Ако планирате да користите унапред дељене кључеве (PSK), размислите о коришћењу библиотека GnuTLS или OpenSSL 1.1.0 (или новијих) у Zabbix компоненте које користе PSK-ове. Библиотеке GnuTLS и OpenSSL 1.1.0 подржава ПСК пакете шифровања са Perfect Forward Secrecy. Старије верзије библиотеке OpenSSL (1.0.1, 1.0.2c) такође подржавају PSK, али доступни PSK пакети шифровања не пружају савршено напредовање Тајност.

Connection encryption management

Connections in Zabbix can use:

There are two important parameters used to specify encryption between Zabbix components:

  • TLSConnect - specifies what encryption to use for outgoing connections (unencrypted, PSK or certificate)
  • TLSAccept - specifies what types of connections are allowed for incoming connections (unencrypted, PSK or certificate). One or more values can be specified.

TLSConnect is used in the configuration files for Zabbix proxy (in active mode, specifies only connections to server) and Zabbix agent (for active checks). In Zabbix frontend the TLSConnect equivalent is the Connections to host field in Data collection → Hosts → <some host> → Encryption tab and the Connections to proxy field in Administration → Proxies → <some proxy> → Encryption tab. If the configured encryption type for connection fails, no other encryption types will be tried.

TLSAccept is used in the configuration files for Zabbix proxy (in passive mode, specifies only connections from server) and Zabbix agent (for passive checks). In Zabbix frontend the TLSAccept equivalent is the Connections from host field in Data collection → Hosts → <some host> → Encryption tab and the Connections from proxy field in Administration → Proxies → <some proxy> → Encryption tab.

Normally you configure only one type of encryption for incoming encryptions. But you may want to switch the encryption type, e.g. from unencrypted to certificate-based with minimum downtime and rollback possibility. To achieve this:

  • Set TLSAccept=unencrypted,cert in the agent configuration file and restart Zabbix agent
  • Test connection with zabbix_get to the agent using certificate. If it works, you can reconfigure encryption for that agent in Zabbix frontend in the Data collection → Hosts → <some host> → Encryption tab by setting Connections to host to "Certificate".
  • When server configuration cache gets updated (and proxy configuration is updated if the host is monitored by proxy) then connections to that agent will be encrypted
  • If everything works as expected you can set TLSAccept=cert in the agent configuration file and restart Zabbix agent. Now the agent will be accepting only encrypted certificate-based connections. Unencrypted and PSK-based connections will be rejected.

In a similar way it works on server and proxy. If in Zabbix frontend in host configuration Connections from host is set to "Certificate" then only certificate-based encrypted connections will be accepted from the agent (active checks) and zabbix_sender (trapper items).

Most likely you will configure incoming and outgoing connections to use the same encryption type or no encryption at all. But technically it is possible to configure it asymmetrically, e.g. certificate-based encryption for incoming and PSK-based for outgoing connections.

Encryption configuration for each host is displayed in the Zabbix frontend, in Data collection → Hosts in the Agent encryption column. For example:

Example Connections to host Allowed connections from host Rejected connections from host
none_none.png Unencrypted Unencrypted Encrypted, certificate and PSK-based encrypted
cert_cert.png Encrypted, certificate-based Encrypted, certificate-based Unencrypted and PSK-based encrypted
psk_psk.png Encrypted, PSK-based Encrypted, PSK-based Unencrypted and certificate-based encrypted
psk_none_psk.png Encrypted, PSK-based Unencrypted and PSK-based encrypted Certificate-based encrypted
cert_all.png Encrypted, certificate-based Unencrypted, PSK or certificate-based encrypted -

Connections are unencrypted by default. Encryption must be configured for each host and proxy individually.

zabbix_get и zabbix_sender са шифровањем

Погледајте zabbix_get и zabbix_sender странице за њихово коришћење са енкрипција.

Ciphersuites

Ciphersuites by default are configured internally during Zabbix startup.

Also user-configured ciphersuites are supported for GnuTLS and OpenSSL. Users may configure ciphersuites according to their security policies. Using this feature is optional (built-in default ciphersuites still work).

For crypto libraries compiled with default settings Zabbix built-in rules typically result in the following ciphersuites (in order from higher to lower priority):

Library Certificate ciphersuites PSK ciphersuites
GnuTLS 3.1.18 TLS_ECDHE_RSA_AES_128_GCM_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA256
TLS_ECDHE_RSA_AES_128_CBC_SHA1
TLS_RSA_AES_128_GCM_SHA256
TLS_RSA_AES_128_CBC_SHA256
TLS_RSA_AES_128_CBC_SHA1		 TLS_ECDHE_PSK_AES_128_CBC_SHA256
TLS_ECDHE_PSK_AES_128_CBC_SHA1
TLS_PSK_AES_128_GCM_SHA256
TLS_PSK_AES_128_CBC_SHA256
TLS_PSK_AES_128_CBC_SHA1
OpenSSL 1.0.2c ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA		 PSK-AES128-CBC-SHA
OpenSSL 1.1.0 ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA
 ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA
OpenSSL 1.1.1d TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-CCM8
AES128-CCM
AES128-SHA256
AES128-SHA		 TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
ECDHE-PSK-AES128-CBC-SHA256
ECDHE-PSK-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES128-CCM8
PSK-AES128-CCM
PSK-AES128-CBC-SHA256
PSK-AES128-CBC-SHA

User-configured ciphersuites

The built-in ciphersuite selection criteria can be overridden with user-configured ciphersuites.

User-configured ciphersuites is a feature intended for advanced users who understand TLS ciphersuites, their security and consequences of mistakes, and who are comfortable with TLS troubleshooting.

The built-in ciphersuite selection criteria can be overridden using the following parameters:

Override scope Parameter Value Description
Ciphersuite selection for certificates TLSCipherCert13 Valid OpenSSL 1.1.1 cipher strings for TLS 1.3 protocol (their values are passed to the OpenSSL function SSL_CTX_set_ciphersuites()). Certificate-based ciphersuite selection criteria for TLS 1.3

Only OpenSSL 1.1.1 or newer.
TLSCipherCert Valid OpenSSL cipher strings for TLS 1.2 or valid GnuTLS priority strings. Their values are passed to the SSL_CTX_set_cipher_list() or gnutls_priority_init() functions, respectively. Certificate-based ciphersuite selection criteria for TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Ciphersuite selection for PSK TLSCipherPSK13 Valid OpenSSL 1.1.1 cipher strings for TLS 1.3 protocol (their values are passed to the OpenSSL function SSL_CTX_set_ciphersuites()). PSK-based ciphersuite selection criteria for TLS 1.3

Only OpenSSL 1.1.1 or newer.
TLSCipherPSK Valid OpenSSL cipher strings for TLS 1.2 or valid GnuTLS priority strings. Their values are passed to the SSL_CTX_set_cipher_list() or gnutls_priority_init() functions, respectively. PSK-based ciphersuite selection criteria for TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Combined ciphersuite list for certificate and PSK TLSCipherAll13 Valid OpenSSL 1.1.1 cipher strings for TLS 1.3 protocol (their values are passed to the OpenSSL function SSL_CTX_set_ciphersuites()). Ciphersuite selection criteria for TLS 1.3

Only OpenSSL 1.1.1 or newer.
TLSCipherAll Valid OpenSSL cipher strings for TLS 1.2 or valid GnuTLS priority strings. Their values are passed to the SSL_CTX_set_cipher_list() or gnutls_priority_init() functions, respectively. Ciphersuite selection criteria for TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)

To override the ciphersuite selection in zabbix_get and zabbix_sender utilities - use the command-line parameters:

  • --tls-cipher13
  • --tls-cipher

The new parameters are optional. If a parameter is not specified, the internal default value is used. If a parameter is defined it cannot be empty.

If the setting of a TLSCipher* value in the crypto library fails then the server, proxy or agent will not start and an error is logged.

It is important to understand when each parameter is applicable.

Одлазне везе

Најједноставнији случај су одлазне везе:

  • За одлазне везе са сертификатом - користите TLSCipherCert13 или TLSCipherCert
  • За одлазне везе са PSK - користите TLSCipherPSK13 или TLSCipherPSK
  • У случају zabbix_get и zabbix_sender услужних програма командну линију могу се користити параметри --tls-cipher13 или --tls-cipher (шифровање је недвосмислено наведено са --tls-connect параметар)
Incoming connections

It is a bit more complicated with incoming connections because rules are specific for components and configuration.

For Zabbix agent:

Agent connection setup Cipher configuration
TLSConnect=cert TLSCipherCert, TLSCipherCert13
TLSConnect=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert TLSCipherCert, TLSCipherCert13
TLSAccept=psk TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert,psk TLSCipherAll, TLSCipherAll13

For Zabbix server and proxy:

Connection setup Cipher configuration
Outgoing connections using PSK TLSCipherPSK, TLSCipherPSK13
Incoming connections using certificates TLSCipherAll, TLSCipherAll13
Incoming connections using PSK if server has no certificate TLSCipherPSK, TLSCipherPSK13
Incoming connections using PSK if server has certificate TLSCipherAll, TLSCipherAll13

Some pattern can be seen in the two tables above:

  • TLSCipherAll and TLSCipherAll13 can be specified only if a combined list of certificate- and PSK-based ciphersuites is used. There are two cases when it takes place: server (proxy) with a configured certificate (PSK ciphersuites are always configured on server, proxy if crypto library supports PSK), agent configured to accept both certificate- and PSK-based incoming connections
  • in other cases TLSCipherCert* and/or TLSCipherPSK* are sufficient

The following tables show the TLSCipher* built-in default values. They could be a good starting point for your own custom values.

Parameter GnuTLS 3.6.12
TLSCipherCert NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
TLSCipherPSK NONE:+VERS-TLS1.2:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL
TLSCipherAll NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
Parameter OpenSSL 1.1.1d 1
TLSCipherCert13
TLSCipherCert EECDH+aRSA+AES128:RSA+aRSA+AES128
TLSCipherPSK13 TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
TLSCipherPSK kECDHEPSK+AES128:kPSK+AES128
TLSCipherAll13
TLSCipherAll EECDH+aRSA+AES128:RSA+aRSA+AES128:kECDHEPSK+AES128:kPSK+AES128

1 Default values are different for older OpenSSL versions (1.0.1, 1.0.2, 1.1.0), for LibreSSL and if OpenSSL is compiled without PSK support.

Examples of user-configured ciphersuites

See below the following examples of user-configured ciphersuites:

Testing cipher strings and allowing only PFS ciphersuites

To see which ciphersuites have been selected you need to set 'DebugLevel=4' in the configuration file, or use the -vv option for zabbix_sender.

Some experimenting with TLSCipher* parameters might be necessary before you get the desired ciphersuites. It is inconvenient to restart Zabbix server, proxy or agent multiple times just to tweak TLSCipher* parameters. More convenient options are using zabbix_sender or the openssl command. Let's show both.

1. Using zabbix_sender.

Let's make a test configuration file, for example /home/zabbix/test.conf, with the syntax of a zabbix_agentd.conf file:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agent.psk

You need valid CA and agent certificates and PSK for this example. Adjust certificate and PSK file paths and names for your environment.

If you are not using certificates, but only PSK, you can make a simpler test file:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=psk
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agentd.psk

The selected ciphersuites can be seen by running zabbix_sender (example compiled with OpenSSL 1.1.d):

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Here you see the ciphersuites selected by default. These default values are chosen to ensure interoperability with Zabbix agents running on systems with older OpenSSL versions (from 1.0.1).

With newer systems you can choose to tighten security by allowing only a few ciphersuites, e.g. only ciphersuites with PFS (Perfect Forward Secrecy). Let's try to allow only ciphersuites with PFS using TLSCipher* parameters.

The result will not be interoperable with systems using OpenSSL 1.0.1 and 1.0.2, if PSK is used. Certificate-based encryption should work.

Add two lines to the test.conf configuration file:

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128

and test again:

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites            
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

The "certificate ciphersuites" and "PSK ciphersuites" lists have changed - they are shorter than before, only containing TLS 1.3 ciphersuites and TLS 1.2 ECDHE-* ciphersuites as expected.

2. TLSCipherAll and TLSCipherAll13 cannot be tested with zabbix_sender; they do not affect "certificate and PSK ciphersuites" value shown in the example above. To tweak TLSCipherAll and TLSCipherAll13 you need to experiment with the agent, proxy or server.

So, to allow only PFS ciphersuites you may need to add up to three parameters

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128
         TLSCipherAll=EECDH+aRSA+AES128:kECDHEPSK+AES128

to zabbix_agentd.conf, zabbix_proxy.conf and zabbix_server_conf if each of them has a configured certificate and agent has also PSK.

If your Zabbix environment uses only PSK-based encryption and no certificates, then only one:

  TLSCipherPSK=kECDHEPSK+AES128

Now that you understand how it works you can test the ciphersuite selection even outside of Zabbix, with the openssl command. Let's test all three TLSCipher* parameter values:

  $ openssl ciphers EECDH+aRSA+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA
         $ openssl ciphers kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA
         $ openssl ciphers EECDH+aRSA+AES128:kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA

You may prefer openssl ciphers with option -V for a more verbose output:

  $ openssl ciphers -V EECDH+aRSA+AES128:kECDHEPSK+AES128
                   0x13,0x02 - TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD
                   0x13,0x03 - TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any      Au=any  Enc=CHACHA20/POLY1305(256) Mac=AEAD
                   0x13,0x01 - TLS_AES_128_GCM_SHA256  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
                   0xC0,0x13 - ECDHE-RSA-AES128-SHA    TLSv1 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
                   0xC0,0x37 - ECDHE-PSK-AES128-CBC-SHA256 TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA256
                   0xC0,0x35 - ECDHE-PSK-AES128-CBC-SHA TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA1

Similarly, you can test the priority strings for GnuTLS:

  $ gnutls-cli -l --priority=NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         Cipher suites for NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         TLS_ECDHE_RSA_AES_128_GCM_SHA256                        0xc0, 0x2f      TLS1.2
         TLS_ECDHE_RSA_AES_128_CBC_SHA256                        0xc0, 0x27      TLS1.2
         
         Protocols: VERS-TLS1.2
         Ciphers: AES-128-GCM, AES-128-CBC
         MACs: AEAD, SHA256
         Key Exchange Algorithms: ECDHE-RSA
         Groups: GROUP-SECP256R1, GROUP-SECP384R1, GROUP-SECP521R1, GROUP-X25519, GROUP-X448, GROUP-FFDHE2048, GROUP-FFDHE3072, GROUP-FFDHE4096, GROUP-FFDHE6144, GROUP-FFDHE8192
         PK-signatures: SIGN-RSA-SHA256, SIGN-RSA-PSS-SHA256, SIGN-RSA-PSS-RSAE-SHA256, SIGN-ECDSA-SHA256, SIGN-ECDSA-SECP256R1-SHA256, SIGN-EdDSA-Ed25519, SIGN-RSA-SHA384, SIGN-RSA-PSS-SHA384, SIGN-RSA-PSS-RSAE-SHA384, SIGN-ECDSA-SHA384, SIGN-ECDSA-SECP384R1-SHA384, SIGN-EdDSA-Ed448, SIGN-RSA-SHA512, SIGN-RSA-PSS-SHA512, SIGN-RSA-PSS-RSAE-SHA512, SIGN-ECDSA-SHA512, SIGN-ECDSA-SECP521R1-SHA512, SIGN-RSA-SHA1, SIGN-ECDSA-SHA1
Switching from AES128 to AES256

Zabbix uses AES128 as the built-in default for data. Let's assume you are using certificates and want to switch to AES256, on OpenSSL 1.1.1.

This can be achieved by adding the respective parameters in zabbix_server.conf:

  TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/server.crt
         TLSKeyFile=/home/zabbix/server.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
         TLSCipherPSK13=TLS_CHACHA20_POLY1305_SHA256
         TLSCipherPSK=kECDHEPSK+AES256:-SHA1
         TLSCipherAll13=TLS_AES_256_GCM_SHA384
         TLSCipherAll=EECDH+aRSA+AES256:-SHA1:-SHA384

Although only certificate-related ciphersuites will be used, TLSCipherPSK* parameters are defined as well to avoid their default values which include less secure ciphers for wider interoperability. PSK ciphersuites cannot be completely disabled on server/proxy.

And in zabbix_agentd.conf:

  TLSConnect=cert
         TLSAccept=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
© 2001-2025 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy