Documentation

Você está visualizando a documentação da versão de desenvolvimento, que pode estar incompleta.
Esta página foi traduzida automaticamente. Se você notar um erro, selecione-o e pressione Ctrl+Enter para reportá-lo aos editores.
1 Estrutura do manual
2 O que é o Zabbix
3 Funcionalidades do Zabbix
4 Visão geral do Zabbix
5 Novidades do Zabbix 8.0.0
6 Novidades no Zabbix 8.0.x
2 Definições
1 Alta disponibilidade
2 Agent
3 Agent 2
4 Proxy
1 Instalação a partir do código-fonte
2 Instalação a partir de pacotes RHEL
3 Instalação a partir de pacotes Debian/Ubuntu
6 Sender
7 Obter
8 JS
9 Serviço web
1 Obtendo o Zabbix
2 Requisitos
1 Compilando o agent do Zabbix no Windows
2 Compilando o Zabbix agent 2 no Windows
3 Compilando o agent Zabbix no macOS
1 Instalação do agent do Windows a partir do MSI
2 Instalação do agent no macOS a partir do PKG
3 Lançamentos instáveis
5 Instalação a partir de containers
6 Instalação da interface web
1 Atualização a partir do código-fonte
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
3 Atualização a partir de containers
1 Problemas de compilação
2 Problemas de atualização relacionados ao escape
9 Alterações em templates
10 Notas de atualização para 8.0.0
11 Notas de atualização para 8.0.x
1 Login e configuração do usuário
2 Novo host
3 Novo item
4 Novo trigger
5 Recebendo notificações de problemas
6 Novo template
6 Zabbix appliance
1 Assistente de host
2 Configurando um host
3 Configurando um grupo de hosts
4 Inventário
5 Atualização em massa
1 Formato da chave do item
2 Intervalos personalizados
1 Teste de pré-processamento
2 Detalhes do pré-processamento
3 Exemplos de pré-processamento
1 Escape de caracteres especiais de valores de macros LLD em JSONPath
1 Objetos JavaScript adicionais
2 Objetos JavaScript de item de navegador
6 Pré-processamento de CSV para JSON
1 Zabbix agent 2
2 Agent Zabbix para Windows
1 Índices dinâmicos
2 OIDs especiais
3 Arquivos MIB
3 Traps SNMP
4 Verificações IPMI
1 Chaves de item de monitoramento do VMware
6 Monitoramento de arquivos de log
1 Cálculos agregados
8 Verificações internas
9 Verificações SSH
10 Verificações Telnet
11 Verificações externas
12 Itens trapper
13 Monitoramento JMX
14 Monitoramento ODBC
15 Items dependentes
16 Agente HTTP
17 Verificações do Prometheus
18 Itens de script
19 Itens de navegador
4 Histórico e tendências
1 Estendendo os agents do Zabbix
6 Contadores de desempenho do Windows
7 Atualização em massa
8 Mapeamento de valores
9 Fila
10 Cache de valores
11 Executar agora
12 Restringindo verificações do agent
1 Configurando um trigger
2 Expressão de trigger
3 Dependências de trigger
4 Severidade do trigger
5 Personalizando severidades de trigger
6 Atualização em massa
7 Funções de trigger preditivas
1 Geração de evento de trigger
2 Outras fontes de eventos
3 Fechamento manual de problemas
1 Correlação de eventos baseada em trigger
2 Correlação global de eventos
6 Tagging
1 Gráficos simples
2 Gráficos personalizados
3 Gráficos ad-hoc
4 Agregação em gráficos
1 Configurando um mapa de rede
2 Elementos de grupo de hosts
3 Indicadores de link
3 Dashboards
1 Configurando um template
2 Configurando um grupo de templates
3 Vinculando/desvinculando
4 Aninhamento
5 Atualização em massa
1 Operação de template de agent Zabbix
2 Operação de template do Zabbix agent 2
3 Operação de template HTTP
4 Operação de template IPMI
5 Operação do template JMX
6 Operação de template ODBC
7 Templates padronizados para dispositivos de rede
8 Operação de template VMware
1 Tipos de mídia automatizados do Gmail/Office365
2 SMS
3 Scripts de alerta personalizados
1 Exemplos de scripts de webhook
1 Condições
1 Enviando mensagem
2 Comandos remotos
3 Operações adicionais
4 Usando macros em mensagens
3 Operações de recuperação
4 Atualizar operações
5 Escalonamentos
3 Recebendo notificação sobre items não suportados
1 Funções de macro
2 Macros de usuário
3 Macros de usuário com contexto
4 Macros de usuário secretas
5 Macros de descoberta de baixo nível
6 Macros de expressão
1 Configurando um usuário
2 Permissões
3 Grupos de usuários
1 Configuração do CyberArk
2 Configuração do HashiCorp
14 Relatórios agendados
1 Exportar para arquivos
2 Transmitindo para sistemas externos
3 SNMP gateway
1 Árvore de serviços
2 SLA
3 Exemplo de configuração
1 Itens de monitoramento web
2 Cenário da vida real
1 Chaves de item de monitoramento do VMware
2 Campos de chave de descoberta de máquina virtual
3 exemplos de JSON para items VMware
4 Exemplo de configuração de monitoramento VMware
11 Manutenção
12 Expressões regulares
1 Supressão de problema
1 Grupos de templates
2 Grupos de hosts
3 Templates
4 Hosts
5 Mapas de rede
6 Tipos de mídia
1 Configurando uma regra de descoberta de rede
2 Autoregistro de agent ativo
1 Prototipagem de items
2 Protótipos de trigger
3 Protótipos de gráficos
4 Protótipos de host
5 Protótipos de descoberta
6 Notas sobre descoberta de baixo nível
1 Descoberta de sistemas de arquivos montados
2 Descoberta de interfaces de rede
3 Descoberta de CPUs e núcleos de CPU
4 Descoberta de OIDs SNMP
5 Descoberta de OIDs SNMP (legado)
6 Descoberta de objetos JMX
7 Descoberta de sensores IPMI
8 Descoberta de serviços systemd
9 Descoberta de serviços do Windows
10 Descoberta de instâncias de contadores de desempenho do Windows
11 Descoberta usando consultas WMI
12 Descoberta usando consultas SQL ODBC
13 Descoberta usando dados do Prometheus
14 Descoberta de dispositivos de bloco
15 Descoberta de interfaces de host no Zabbix
8 Regras LLD personalizadas
1 Sincronização da configuração de monitoramento
2 Balanceamento de carga e alta disponibilidade do proxy
1 Usando certificados
2 Usando chaves pré-compartilhadas
1 Problemas de tipo de conexão ou permissão
2 Problemas de certificado
3 Problemas com PSK
1 Menu de evento
2 Menu de host
3 Menu de item
1 Widgets do dashboard
1 Log de ações
2 Relógio
3 Status da descoberta
4 Gráficos favoritos
5 Mapas favoritos
6 Gauge
7 Geomapa
8 Gráfico
9 Gráfico (clássico)
10 Protótipo de gráfico
11 Honeycomb
12 Disponibilidade do host
13 Cartão de host
14 Navegador de hosts
15 Cartão de item
16 Histórico de item
17 Navegador de item
18 Valor do item
19 Mapa
20 Árvore de navegação do mapa
21 Gráfico de pizza
22 Hosts com problemas
23 Problemas
24 Problemas por gravidade
25 Relatório de SLA
26 Informações do sistema
27 Principais hosts
28 Principais items
29 Principais triggers
30 Visão geral do trigger
31 URL
32 Monitoramento web
1 Problemas de causa e sintoma
1 Gráficos
2 Dashboards de host
3 Cenários web
3 Últimos dados
4 Mapas
5 Descoberta
1 Serviços
2 SLA
3 Relatório de SLA
1 Visão geral
2 Hosts
1 Informações do sistema
2 Relatórios agendados
3 Relatório de disponibilidade
4 Top 100 triggers
5 Log de auditoria
6 Log de ações
7 Notificações
1 Grupos de templates
2 Grupos de hosts
1 Items
2 Triggers
3 Gráficos
1 Prototipagem de items
2 Protótipos de trigger
3 Protótipos de gráficos
4 Protótipos de host
5 Protótipos de descoberta
5 Cenários web
1 Items
2 Triggers
3 Gráficos
1 Protótipos de item
2 Protótipos de trigger
3 Protótipos de gráficos
4 Protótipos de host
5 Protótipos de descoberta
5 Cenários web
5 Manutenção
6 Correlação de eventos
7 Descoberta
1 Ações
2 Tipos de mídia
3 Scripts
1 Grupos de usuários
2 Funções de usuário
3 Usuários
4 Tokens de API
1 HTTP
2 LDAP
3 SAML
4 MFA
1 Geral
2 Log de auditoria
3 Limpeza
4 Proxies
5 Grupos de proxy
6 Macros
7 Fila
1 Notificações globais
2 Som nos navegadores
4 Pesquisa global
5 Modo de manutenção do frontend
6 Parâmetros de página
7 Definições
8 Criando seu próprio tema
9 Modo de depuração
10 Cookies usados pelo Zabbix
11 Fusos horários
12 Redefinindo a senha
13 Seletor de período de tempo e host
1 Protegendo o MySQL/MariaDB
2 Protegendo o PostgreSQL/TimescaleDB
2 Criptografia
3 Servidor web
2 Melhores práticas de configuração
Objeto action
action.create
action.delete
action.get
action.update
Objeto alert
alert.get
Objeto de autenticação
authentication.get
authentication.update
Objeto de autorregistro
autoregistration.get
autoregistration.update
Objeto de cenário web
httptest.create
httptest.delete
httptest.get
httptest.update
configuration.export
configuration.import
configuration.importcompare
Objeto settings
settings.get
settings.update
Objeto connector
connector.create
connector.delete
connector.get
connector.update
Objeto correlation
correlation.create
correlation.delete
correlation.get
correlation.update
Objeto dashboard
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
1 Log de ações
2 Relógio
3 Status da descoberta
4 Gráficos favoritos
5 Mapas favoritos
6 Gauge
7 Geomapa
8 Gráfico
9 Gráfico (clássico)
10 Protótipo de gráfico
11 Honeycomb
12 Disponibilidade do host
13 Cartão de host
14 Navegador de hosts
15 Cartão de item
16 Histórico de item
17 Navegador de item
18 Valor do item
19 Mapa
20 Árvore de navegação do mapa
21 Gráfico de pizza
22 Hosts com problemas
23 Problemas
24 Problemas por gravidade
25 Relatório de SLA
26 Informações do sistema
27 Principais hosts
28 Principais items
29 Principais triggers
30 Visão geral do trigger
31 URL
32 Monitoramento web
Objeto de diretório de usuário
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
Objeto event
event.acknowledge
event.get
Objeto de expressão regular
regexp.create
regexp.delete
regexp.get
regexp.update
Objeto graph
graph.create
graph.delete
graph.get
graph.update
Objeto de grupo de hosts
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
Objeto de grupo de proxy
proxygroup.create
proxygroup.delete
proxygroup.get
proxygroup.update
Objeto de grupo de template
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
Objeto de grupo de usuários
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
Objeto de histórico
history.clear
history.get
history.push
Objeto host
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
Objeto de host descoberto
dhost.get
Objeto de limpeza
housekeeping.get
housekeeping.update
Objeto de imagem
image.create
image.delete
image.get
image.update
apiinfo.version
Objeto de interface de host
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
Objeto item
item.create
item.delete
item.get
item.update
Objeto de item de gráfico
graphitem.get
Objeto de log de auditoria
auditlog.get
Objeto macro de usuário
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
Objeto de manutenção
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
Objeto de mapa
map.create
map.delete
map.get
map.update
Objeto de mapa de valor
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
Objeto de mapa de ícones
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
Objeto MFA
mfa.create
mfa.delete
mfa.get
mfa.update
Objeto module
module.create
module.delete
module.get
module.update
Objeto de nó de alta disponibilidade
hanode.get
Objeto problem
problem.get
Objeto de protótipo de gráfico
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
Objeto de protótipo de host
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
Objeto de protótipo de item
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
Objeto de protótipo de regra de LLD
discoveryruleprototype.create
discoveryruleprototype.delete
discoveryruleprototype.get
discoveryruleprototype.update
Objeto proxy
proxy.create
proxy.delete
proxy.get
proxy.update
Objeto de regra de descoberta
drule.create
drule.delete
drule.get
drule.update
Objeto de regra de LLD
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
Objeto report
report.create
report.delete
report.get
report.update
Objeto role
role.create
role.delete
role.get
role.update
Objeto script
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
Objeto de serviço
service.create
service.delete
service.get
service.update
Objeto de serviço descoberto
dservice.get
Objeto SLA
sla.create
sla.delete
sla.get
sla.getsli
sla.update
Objeto Task
task.create
task.get
Objeto template
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
Objeto de dashboard de template
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
Objeto media type
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
Objeto token
token.create
token.delete
token.generate
token.get
token.update
Objeto de tendência
trend.get
Objeto trigger
trigger.create
trigger.delete
trigger.get
trigger.update
Objeto de protótipo de trigger
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
Objeto de usuário
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.provision
user.resettotp
user.unblock
user.update
Objeto de verificação de descoberta
dcheck.get
Apêndice 1. Comentário de referência
Apêndice 2. Alterações da 7.4 para a 8.0
Apêndice 3. Alterações na 8.0
1 Módulos carregáveis
1 Compilando plugins carregáveis
3 Módulos do frontend
1 Criação do banco de dados
2 Reparando o conjunto de caracteres e a collation do banco de dados do Zabbix
3 Atualização do banco de dados para chaves primárias
4 Preparando a tabela auditlog para particionamento
1 Configuração de criptografia do MySQL
2 Configuração de criptografia do PostgreSQL
6 Conexão segura com o frontend
7 Configuração do TimescaleDB
8 Configuração do Elasticsearch
9 Notas específicas da distribuição sobre a configuração do Nginx para o Zabbix
10 Executando o agent como root
11 Agent Zabbix no Microsoft Windows
12 Configuração do SAML com o Microsoft Entra ID
13 Configuração do SAML com Okta
14 Configuração do SAML com OneLogin
15 Configurando relatórios agendados
16 Idiomas adicionais do frontend
1 Zabbix server
2 Proxy Zabbix
3 Agent Zabbix (UNIX)
4 Agent Zabbix 2 (UNIX)
5 Agent Zabbix (Windows)
6 Agent Zabbix 2 (Windows)
1 Plugin Ceph
2 Plugin Docker
3 Plugin Ember+
4 Plugin Memcached
5 Plugin Modbus
6 Plugin MongoDB
7 Plugin MQTT
8 Plugin MSSQL
9 Plugin MySQL
10 Plugin NVIDIA GPU
11 Plugin Oracle
12 Plugin do PostgreSQL
13 Plugin Redis
14 Plugin SMART
8 Zabbix Java gateway
9 Serviço web do Zabbix
10 Variáveis de ambiente
11 Inclusão
1 Protocolo de troca de dados server-proxy
2 Protocolo do agent/agent2 do Zabbix
4 Protocolo de plugin do Zabbix agent 2
5 Protocolo do Zabbix sender
6 Cabeçalho
7 Novo protocolo de exportação JSON delimitado por nova linha
1 parâmetros vm.memory.size
2 Verificações passivas e ativas do agent
3 Nível mínimo de permissão para itens do agent do Windows
4 Codificação dos valores retornados
5 Suporte a arquivos grandes
6 Sensor
7 Notas sobre o parâmetro memtype em itens proc.mem
8 Notas sobre a seleção de processos em itens proc.mem e proc.num
9 Detalhes de implementação das verificações net.tcp.service e net.udp.service
10 parâmetros proc.get
11 Configurações de interface de host inacessível/indisponível
12 Monitoramento remoto das estatísticas do Zabbix
13 Configurando o Kerberos com o Zabbix
14 parâmetros modbus.get
15 Criando nomes personalizados de contadores de desempenho para VMware
16 Valores de retorno para system.sw.packages.get
17 Valores de retorno para net.dns.get
18 Notas sobre os items system.cpu.util no Windows
1 Funções Foreach
2 Funções bitwise
3 Funções de data e hora
4 Funções de histórico
5 Funções de tendência
6 Funções matemáticas
7 Funções de operador
8 Funções preditivas
9 Funções de string
1 Macros suportadas por local
2 Macros de usuário suportadas por local
7 Símbolos de unidade
8 Sintaxe do período de tempo
9 Execução de comandos
10 Compatibilidade de versões
12 Biblioteca de vínculo dinâmico do Zabbix sender para Windows
13 Biblioteca Python para Zabbix API
14 Atualização do monitoramento de serviços
15 Outros problemas
16 Comparação entre agent e agent 2
17 Exemplos de escape
1 Monitorar Linux com o agent do Zabbix
2 Monitorar Windows com o Zabbix agent
3 Monitorar o Apache via HTTP
4 Monitorar o MySQL com o Zabbix agent 2
5 Monitorar VMware com o Zabbix
6 Monitorar o tráfego de rede com o Zabbix
7 Monitorar o tráfego de rede usando verificações ativas
8 Monitorar sites com itens do Browser
9 Monitorar certificados de sites com o Zabbix agent 2 (passivo)
10 Monitore um switch ou roteador de rede com o Zabbix
11 Monitorar o log de eventos do Windows usando verificações ativas
1 Implantar o Zabbix com o Zabbix Cloud
2 Configuração de nó
3 Adicionando usuários
4 Principais diferenças entre Zabbix Cloud e on-premises
manifest.json
Ações
Visualizações
Assets
Registrar um novo módulo
Configuração
Apresentação
Criar um módulo (tutorial)
Criar um widget (tutorial)
Exemplos
Exemplos
Criar um plugin (tutorial)
Interfaces de plugin
Alterações no desenvolvimento de extensões
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

1 Usando certificados

Visão geral

O Zabbix pode usar certificados RSA no formato PEM, assinados por uma autoridade certificadora (CA) pública ou interna.

A verificação do certificado é realizada em relação a um certificado CA pré-configurado. Opcionalmente, Listas de Revogação de Certificados (CRL) podem ser usadas.

Cada componente do Zabbix pode ter apenas um certificado configurado.

Para obter mais informações sobre como configurar e operar uma CA interna, gerar e assinar solicitações de certificado e revogar certificados, consulte tutoriais como o OpenSSL PKI Tutorial v2.0.

Considere e teste cuidadosamente suas extensões de certificado. Para mais detalhes, consulte Limitações no uso de extensões de certificado X.509 v3.

Parâmetros de configuração de certificado

Os seguintes parâmetros de configuração são suportados para configurar certificados nos componentes do Zabbix.

Parâmetro Obrigatório Descrição
TLSCAFile sim Caminho completo para um arquivo contendo os certificados da(s) CA(s) de nível superior para verificação do certificado do par.
Se estiver usando uma cadeia de certificados com vários membros, ordene os certificados com os certificados da(s) CA(s) de nível inferior primeiro, seguidos pelos certificados da(s) CA(s) de nível superior.
Certificados de várias CAs podem ser incluídos em um único arquivo.
TLSCRLFile não Caminho completo para um arquivo contendo Listas de Revogação de Certificados (CRL).
TLSCertFile sim Caminho completo para um arquivo contendo o certificado.
Se estiver usando uma cadeia de certificados com vários membros, ordene os certificados com o certificado do server, proxy ou agent primeiro, seguido pelos certificados da(s) CA(s) de nível inferior e concluído pelos certificados da(s) CA(s) de nível superior.
TLSKeyFile sim Caminho completo para um arquivo contendo a chave privada.
Certifique-se de que este arquivo seja legível apenas pelo usuário do Zabbix, definindo os direitos de acesso apropriados.
TLSServerCertIssuer não Emissor do certificado do server permitido.
TLSServerCertSubject não Assunto do certificado do server permitido.

Exemplos de configuração

Após configurar os certificados necessários, configure os componentes do Zabbix para usar criptografia baseada em certificados.

Abaixo estão as etapas detalhadas para configurar:

Zabbix server

1. Prepare o arquivo de certificado da CA.

Para verificar os certificados dos pares, o Zabbix server deve ter acesso ao arquivo que contém os certificados das CAs raiz autoassinadas de nível superior. Por exemplo, se forem necessários certificados de duas CAs raiz independentes, coloque-os em um arquivo em /home/zabbix/zabbix_ca_file.crt:

Certificate:  Data:  Version: 3 (0x2)  Serial Number: 1 (0x1)  Signature Algorithm: sha1WithRSAEncryption  Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA  ...  Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA  Subject Public Key Info:  Public Key Algorithm: rsaEncryption  Public-Key: (2048 bit)  ...  X509v3 extensions:  X509v3 Key Usage: critical  Certificate Sign, CRL Sign  X509v3 Basic Constraints: critical  CA:TRUE  ... -----BEGIN CERTIFICATE----- MIID2jCCAsKgAwIBAgIBATANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB .... 9wEzdN8uTrqoyU78gi12npLj08LegRKjb5hFTVmO -----END CERTIFICATE----- Certificate:  Data:  Version: 3 (0x2)  Serial Number: 1 (0x1)  Signature Algorithm: sha1WithRSAEncryption  Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA  ...  Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA  Subject Public Key Info:  Public Key Algorithm: rsaEncryption  Public-Key: (2048 bit)  ....  X509v3 extensions:  X509v3 Key Usage: critical  Certificate Sign, CRL Sign  X509v3 Basic Constraints: critical  CA:TRUE  ....  -----BEGIN CERTIFICATE----- MIID3DCCAsSgAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQB ... vdGNYoSfvu41GQAR5Vj5FnRJRzv5XQOZ3B6894GY1zY= -----END CERTIFICATE-----

2. Coloque o certificado/cadeia de certificados do Zabbix server em um arquivo, por exemplo, em /home/zabbix/zabbix_server.crt. O primeiro certificado é o certificado do Zabbix server, seguido pelo certificado da CA intermediária:

Certificate:  Data:  Version: 3 (0x2)  Serial Number: 1 (0x1)  Signature Algorithm: sha1WithRSAEncryption  Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA  ...  Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix server  Subject Public Key Info:  Public Key Algorithm: rsaEncryption  Public-Key: (2048 bit)  ...  X509v3 extensions:  X509v3 Key Usage: critical  Digital Signature, Key Encipherment  X509v3 Basic Constraints:   CA:FALSE  ... -----BEGIN CERTIFICATE----- MIIECDCCAvCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk ... h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ== -----END CERTIFICATE----- Certificate:  Data:  Version: 3 (0x2)  Serial Number: 2 (0x2)  Signature Algorithm: sha1WithRSAEncryption  Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA  ...  Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA  Subject Public Key Info:  Public Key Algorithm: rsaEncryption  Public-Key: (2048 bit)  ...  X509v3 extensions:  X509v3 Key Usage: critical  Certificate Sign, CRL Sign  X509v3 Basic Constraints: critical  CA:TRUE, pathlen:0  ... -----BEGIN CERTIFICATE----- MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB ... dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw== -----END CERTIFICATE-----

Use apenas os atributos mencionados acima para os certificados de cliente e servidor para evitar afetar o processo de verificação do certificado. Por exemplo, o OpenSSL pode falhar ao estabelecer uma conexão criptografada se as extensões X509v3 Subject Alternative Name ou Netscape Cert Type forem usadas. Para mais informações, consulte Limitações no uso de extensões de certificado X.509 v3.

3. Coloque a chave privada do Zabbix server em um arquivo, por exemplo, em /home/zabbix/zabbix_server.key:

-----BEGIN PRIVATE KEY----- MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl ... IJLkhbybBYEf47MLhffWa7XvZTY= -----END PRIVATE KEY-----

4. Edite os parâmetros de configuração TLS no arquivo de configuração do Zabbix server:

TLSCAFile=/home/zabbix/zabbix_ca_file TLSCertFile=/home/zabbix/zabbix_server.crt TLSKeyFile=/home/zabbix/zabbix_server.key
Proxy Zabbix

1. Prepare os arquivos com os certificados CA de nível superior, o certificado/cadeia de certificados do proxy Zabbix e a chave privada conforme descrito na seção Servidor Zabbix. Em seguida, edite os parâmetros TLSCAFile, TLSCertFile e TLSKeyFile no arquivo de configuração do proxy Zabbix conforme necessário.

2. Edite os parâmetros TLS adicionais no arquivo de configuração do proxy Zabbix:

  • Para proxy ativo: TLSConnect=cert
  • Para proxy passivo: TLSAccept=cert

Para melhorar a segurança do proxy, você também pode definir os parâmetros TLSServerCertIssuer e TLSServerCertSubject. Para mais informações, consulte Restringindo emissor e assunto do certificado permitido.

Os parâmetros TLS no arquivo de configuração final do proxy podem ser semelhantes a:

TLSConnect=cert TLSAccept=cert TLSCAFile=/home/zabbix/zabbix_ca_file TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSCertFile=/home/zabbix/zabbix_proxy.crt TLSKeyFile=/home/zabbix/zabbix_proxy.key

3. Configure a criptografia para este proxy no frontend Zabbix:

  • Vá para: Administração → Proxies.
  • Selecione o proxy e clique na guia Criptografia.

Nos exemplos abaixo, os campos Emissor e Assunto estão preenchidos. Para mais informações sobre por que e como usar esses campos, consulte Restringindo emissor e assunto do certificado permitido.

Para proxy ativo:

Para proxy passivo:

Agent Zabbix

1. Prepare os arquivos com os certificados CA de nível superior, o certificado/cadeia de certificados do agent Zabbix e a chave privada conforme descrito na seção Servidor Zabbix. Em seguida, edite os parâmetros TLSCAFile, TLSCertFile e TLSKeyFile no arquivo de configuração do agent Zabbix conforme necessário.

2. Edite os parâmetros TLS adicionais no arquivo de configuração do agent Zabbix:

  • Para agent ativo: TLSConnect=cert
  • Para agent passivo: TLSAccept=cert

Para melhorar a segurança do agent, você pode definir os parâmetros TLSServerCertIssuer e TLSServerCertSubject. Para mais informações, consulte Restringindo emissor e assunto do certificado permitido.

Os parâmetros TLS no arquivo de configuração final do agent podem ser semelhantes ao exemplo abaixo. Observe que o exemplo pressupõe que o host é monitorado por um proxy, portanto, ele é especificado como o Subject do certificado:

TLSConnect=cert TLSAccept=cert TLSCAFile=/home/zabbix/zabbix_ca_file TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSCertFile=/home/zabbix/zabbix_agentd.crt TLSKeyFile=/home/zabbix/zabbix_agentd.key

3. Configure a criptografia no frontend Zabbix para o host monitorado por este agent.

  • Vá para: Coleta de dados → Hosts.
  • Selecione o host e clique na guia Criptografia.

No exemplo abaixo, os campos Emissor e Assunto estão preenchidos. Para mais informações sobre por que e como usar esses campos, consulte Restringindo emissor e assunto do certificado permitido.

Zabbix web service

1. Prepare os arquivos com os certificados CA de nível superior, o certificado/cadeia de certificados do Zabbix web service e a chave privada conforme descrito na seção Zabbix server. Em seguida, edite os parâmetros TLSCAFile, TLSCertFile e TLSKeyFile no arquivo de configuração do Zabbix web service conforme necessário.

2. Edite um parâmetro TLS adicional no arquivo de configuração do Zabbix web service: TLSAccept=cert

Os parâmetros TLS no arquivo de configuração final do web service podem ser semelhantes a:

TLSAccept=cert TLSCAFile=/home/zabbix/zabbix_ca_file TLSCertFile=/home/zabbix/zabbix_web_service.crt TLSKeyFile=/home/zabbix/zabbix_web_service.key

3. Configure o Zabbix server para se conectar ao Zabbix web service configurado com TLS, editando o parâmetro WebServiceURL no arquivo de configuração do Zabbix server:

WebServiceURL=https://example.com

Restringindo o emissor e o assunto do certificado permitido

Quando dois componentes do Zabbix (por exemplo, server e agent) estabelecem uma conexão TLS, eles validam os certificados um do outro. Se um certificado de peer for assinado por uma CA confiável (com um certificado de nível superior pré-configurado em TLSCAFile), for válido, não tiver expirado e passar em outras verificações, a comunicação entre os componentes pode prosseguir. Nesse caso mais simples, o emissor e o assunto do certificado não são verificados.

No entanto, isso apresenta um risco: qualquer pessoa com um certificado válido pode se passar por qualquer outra (por exemplo, um certificado de host pode ser usado para se passar por um server). Embora isso possa ser aceitável em ambientes pequenos, onde os certificados são assinados por uma CA interna dedicada e o risco de personificação é baixo, pode não ser suficiente em ambientes maiores ou mais sensíveis à segurança.

Se sua CA de nível superior emitir certificados que não devem ser aceitos pelo Zabbix ou se você quiser reduzir o risco de personificação, pode restringir os certificados permitidos especificando seu emissor e assunto.

Por exemplo, no arquivo de configuração do proxy do Zabbix, você pode especificar:

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Com essas configurações, um proxy ativo não se comunicará com um server Zabbix cujo certificado tenha um emissor ou assunto diferente. Da mesma forma, um proxy passivo não aceitará solicitações de tal server.

Regras para correspondência de strings Issuer e Subject

As regras para correspondência de strings Issuer e Subject são as seguintes:

  • As strings Issuer e Subject são verificadas independentemente. Ambas são opcionais.
  • Uma string não especificada significa que qualquer string é aceita.
  • As strings são comparadas como estão e devem corresponder exatamente.
  • Caracteres UTF-8 são suportados. No entanto, curingas (*) ou expressões regulares não são suportados.
  • Os seguintes requisitos da RFC 4514 são implementados - caracteres que exigem escape (com uma barra invertida '\', U+005C):
    • em qualquer lugar da string: '"' (U+0022), '+' (U+002B), ',' (U+002C), ';' (U+003B), '<' (U+003C), '>' (U+003E), '\\' (U+005C);
    • no início da string: espaço (' ', U+0020) ou cerquilha ('#', U+0023);
    • no final da string: espaço (' ', U+0020).
  • Caracteres nulos (U+0000) não são suportados. Se um caractere nulo for encontrado, a correspondência falhará.
  • Os padrões RFC 4517 e RFC 4518 não são suportados.

Por exemplo, se as strings de organização (O) de Issuer e Subject contiverem espaços à direita e a string de unidade organizacional (OU) de Subject contiver aspas duplas, esses caracteres devem ser escapados:

TLSServerCertIssuer=CN=Signing CA,OU=Development head,O=\ Example SIA\ ,DC=example,DC=com TLSServerCertSubject=CN=Zabbix server,OU=Development group \"5\",O=\ Example SIA\ ,DC=example,DC=com
Ordem e formatação dos campos

O Zabbix segue as recomendações da RFC 4514, que especifica uma ordem "reversa" para esses campos, começando pelos campos de nível mais baixo (CN), passando pelos campos de nível intermediário (OU, O) e concluindo com os campos de nível mais alto (DC).

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Em contraste, o OpenSSL por padrão exibe as strings Issuer e Subject na ordem do nível mais alto para o mais baixo. No exemplo a seguir, os campos Issuer e Subject começam com o campo de nível mais alto (DC) e terminam com o campo de nível mais baixo (CN). A formatação com espaços e separadores de campo também varia com base nas opções usadas e, portanto, não corresponderá ao formato exigido pelo Zabbix.

$ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject issuer= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Signing CA subject= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Zabbix proxy  $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt Certificate:  ...  Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA  ...  Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix proxy

Para formatar corretamente as strings Issuer e Subject para o Zabbix, invoque o OpenSSL com as seguintes opções:

$ openssl x509 -noout -issuer -subject \  -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname\  -in /home/zabbix/zabbix_proxy.crt

A saída estará então em ordem reversa, separada por vírgulas e utilizável nos arquivos de configuração do Zabbix e no frontend:

issuer= CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com subject= CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Limitações no uso de extensões de certificado X.509 v3

Ao implementar certificados X.509 v3 no Zabbix, certas extensões podem não ser totalmente suportadas ou podem resultar em comportamento inconsistente.

Extensão Subject Alternative Name

O Zabbix não suporta a extensão Subject Alternative Name, que é usada para especificar nomes DNS alternativos, como endereços IP ou endereços de e-mail. O Zabbix só pode validar o valor no campo Subject do certificado (consulte Restringindo o emissor e o assunto do certificado permitido). Se os certificados incluírem o campo subjectAltName, o resultado da validação do certificado pode variar dependendo dos toolkits criptográficos específicos usados para compilar os componentes do Zabbix. Como resultado, o Zabbix pode aceitar ou rejeitar certificados com base nessas combinações.

Extensão Extended Key Usage

O Zabbix suporta a extensão Extended Key Usage. No entanto, se usada, geralmente é necessário que ambos os atributos clientAuth (para autenticação de cliente TLS WWW) e serverAuth (para autenticação de servidor TLS WWW) sejam especificados. Por exemplo:

  • Em verificações passivas, onde o agent Zabbix opera como um servidor TLS, o atributo serverAuth deve ser incluído no certificado do agent.
  • Para verificações ativas, onde o agent opera como um cliente TLS, o atributo clientAuth deve ser incluído no certificado do agent.

Embora o GnuTLS possa emitir um aviso para violações de uso de chave, normalmente permite que a comunicação prossiga apesar desses avisos.

Extensão Name Constraints

O suporte para a extensão Name Constraints varia entre os toolkits criptográficos. Certifique-se de que o toolkit escolhido suporte essa extensão. Essa extensão pode restringir o Zabbix de carregar certificados CA se esta seção for marcada como crítica, dependendo do toolkit específico em uso.

Listas de Revogação de Certificados (CRL)

Se um certificado for comprometido, a Autoridade Certificadora (CA) pode revogá-lo incluindo o certificado em uma Lista de Revogação de Certificados (CRL). As CRLs são gerenciadas por meio de arquivos de configuração e podem ser especificadas usando o parâmetro TLSCRLFile nos arquivos de configuração do server, proxy e agent. Por exemplo:

TLSCRLFile=/home/zabbix/zabbix_crl_file.crt

Neste caso, zabbix_crl_file.crt pode conter CRLs de várias CAs e pode ser semelhante a isto:

-----BEGIN X509 CRL----- MIIB/DCB5QIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixkARkWA2Nv ... treZeUPjb7LSmZ3K2hpbZN7SoOZcAoHQ3GWd9npuctg= -----END X509 CRL----- -----BEGIN X509 CRL----- MIIB+TCB4gIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQBGRYDY29t ... CAEebS2CND3ShBedZ8YSil59O6JvaDP61lR5lNs= -----END X509 CRL-----

O arquivo CRL é carregado apenas quando o Zabbix é iniciado. Para atualizar a CRL, reinicie o Zabbix.

Se os componentes do Zabbix forem compilados com OpenSSL e as CRLs forem usadas, certifique-se de que cada CA de nível superior e intermediária nas cadeias de certificados tenha uma CRL correspondente (mesmo que esteja vazia) incluída no TLSCRLFile.

© 2001-2025 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy