ProHoster > Blag > Riarachán > Conas oibriú le logaí Zimbra OSE

Conas oibriú le logaí Zimbra OSE

Tá logáil gach teagmhais a tharlaíonn ar cheann de na feidhmeanna is tábhachtaí atá ag aon chóras corparáideach. Ligeann logaí duit fadhbanna atá ag teacht chun cinn a réiteach, oibriú na gcóras faisnéise a iniúchadh, agus teagmhais slándála faisnéise a imscrúdú freisin. Coinníonn Zimbra OSE logaí mionsonraithe dá oibriú freisin. Áirítear leo na sonraí go léir ó fheidhmíocht an fhreastalaí go dtí seoltaí agus fáil ríomhphoist ó úsáideoirí. Mar sin féin, is tasc sách neamhfhánach é na logaí a ghineann Zimbra OSE a léamh. San Airteagal seo, ag baint úsáide as sampla sonrach, inseoimid duit conas logaí Zimbra OSE a léamh, chomh maith le conas iad a dhéanamh láraithe.

Conas oibriú le logaí Zimbra OSE
Stórálann Zimbra OSE na logaí áitiúla go léir san fhillteán /opt/zimbra/log, agus is féidir logaí a fháil sa chomhad /var/log/zimbra.log freisin. Is é mailbox.log an ceann is tábhachtaí díobh seo. Taifeadann sé na gníomhartha go léir a tharlaíonn ar an bhfreastalaí ríomhphoist. Ina measc seo tá tarchur ríomhphoist, sonraí fíordheimhnithe úsáideoirí, iarrachtaí logáil isteach ar theip orthu, agus cinn eile. Teaghrán téacs is ea iontrálacha i mailbox.log ina bhfuil an t-am ar tharla an teagmhas, leibhéal an imeachta, an uimhir snáithe inar tharla an teagmhas, an t-ainm úsáideora agus an seoladh IP, chomh maith le cur síos téacs ar an imeacht .

Conas oibriú le logaí Zimbra OSE

Léiríonn an leibhéal logála méid tionchair an imeachta ar oibriú an fhreastalaí. De réir réamhshocraithe tá 4 leibhéal teagmhais: INFO, WARN, ERROR agus FATAL. Breathnaímid ar gach leibhéal in ord méadaitheach déine.

  • EOLAS - De ghnáth bíonn imeachtaí ag an leibhéal seo ceaptha eolas a thabhairt faoi dhul chun cinn Zimbra OSE. Áirítear le teachtaireachtaí ag an leibhéal seo tuarascálacha ar chruthú nó ar scriosadh bosca poist, agus mar sin de.
  • RABHADH - cuireann imeachtaí den leibhéal seo eolas ar chásanna a d'fhéadfadh a bheith contúirteach, ach nach gcuireann isteach ar oibriú an fhreastalaí. Mar shampla, marcálann an leibhéal WARN teachtaireacht faoi iarracht logáil isteach úsáideora ar theip uirthi.
  • EARRÁID - cuireann an leibhéal teagmhais seo sa loga ar an eolas faoi tharla earráide logánta agus nach gcuireann sé isteach ar oibriú an fhreastalaí. Is féidir leis an leibhéal seo earráid a léiriú ina bhfuil sonraí innéacs úsáideora aonair truaillithe.
  • MARFACH - léiríonn an leibhéal seo earráidí nach féidir leis an bhfreastalaí leanúint ar aghaidh ag oibriú de ghnáth. Mar shampla, beidh an leibhéal FATAL do thaifead a thabharfadh le fios nach bhfuil sé in ann ceangal leis an DBMS.

Déantar logchomhad an fhreastalaí ríomhphoist a nuashonrú gach lá. Bíonn an t-ainm Mailbox.log ar an leagan is déanaí den chomhad i gcónaí, agus tá dáta san ainm ag logaí ar dháta áirithe agus tá siad sa chartlann. Mar shampla mailbox.log.2020-09-29.tar.gz. Fágann sin go bhfuil sé i bhfad níos éasca cúltaca a dhéanamh de logaí gníomhaíochta agus cuardach a dhéanamh trí logaí.

Ar mhaithe le háisiúlacht riarthóir an chórais, tá logaí eile san fhillteán /opt/zimbra/log/. Ní chuimsíonn siad ach iontrálacha a bhaineann le heilimintí sonracha Zimbra OSE. Mar shampla, níl ach taifid ag audit.log maidir le fíordheimhniú úsáideora, clamd.log tá sonraí faoi oibriú an antivirus, agus mar sin de. Dála an scéil, is modh den scoth é freastalaí Zimbra OSE a chosaint ó intruders cosaint freastalaí ag baint úsáide as Fail2Ban, a oibríonn ach bunaithe ar audit.log. Is dea-chleachtas é freisin tasc cron a chur leis chun an t-ordú a fhorghníomhú grep -ir "focal faire neamhbhailí" /opt/zimbra/log/audit.logchun faisnéis teip logáil isteach laethúil a fháil.

Conas oibriú le logaí Zimbra OSE
Sampla de conas a thaispeánann audit.log pasfhocal a cuireadh isteach faoi dhó mícheart agus iarracht rathúil logáil isteach.

Is féidir le logaí i Zimbra OSE a bheith thar a bheith úsáideach chun cúiseanna teipeanna criticiúla éagsúla a aithint. I láthair na huaire nuair a tharlaíonn earráid chriticiúil, de ghnáth ní bhíonn aon am ag an riarthóir na logaí a léamh. Tá sé riachtanach an freastalaí a chur ar ais chomh luath agus is féidir. Mar sin féin, níos déanaí, nuair a bhíonn an freastalaí cúltaca agus ag giniúint go leor logs, is féidir go mbeadh sé deacair an iontráil riachtanach a fháil i gcomhad mór. Chun taifead earráide a aimsiú go tapa, is leor fios a bheith agat cén t-am ar atosaíodh an freastalaí agus iontráil a fháil sna logaí ón am seo. Taifead ar an earráid a tharla a bheidh san iontráil roimhe seo. Is féidir leat an teachtaireacht earráide a fháil freisin trí chuardach a dhéanamh don eochairfhocal FATAL.

Ligeann logs Zimbra OSE duit teipeanna neamhchriticiúil a aithint freisin. Mar shampla, chun eisceachtaí láimhseálaí a aimsiú, is féidir leat eisceacht láimhseálaí a chuardach. Go minic, bíonn rian cruachta ag gabháil le hearráidí a ghineann láimhseálaithe a mhíníonn cad ba chúis leis an eisceacht. I gcás earráidí le seachadadh ríomhphoist, ba cheart duit do chuardach a thosú leis an eochairfhocal LmtpServer, agus chun earráidí a bhaineann leis na prótacail POP nó IMAP a chuardach, is féidir leat na heochairfhocail ImapServer agus Pop3Server a úsáid.

Is féidir le logaí cabhrú freisin agus teagmhais slándála faisnéise á imscrúdú. Breathnaímid ar shampla ar leith. Ar an 20 Meán Fómhair, sheol duine de na fostaithe litir chuig cliant a bhí ionfhabhtaithe le víreas. Mar thoradh air sin, criptíodh na sonraí ar ríomhaire an chliaint. Mar sin féin, mionnaíonn an fostaí nár sheol sé rud ar bith. Mar chuid den imscrúdú ar an teagmhas, iarrann an tseirbhís slándála fiontair ar riarthóir an chórais logáil an fhreastalaí ríomhphoist don 20 Meán Fómhair a bhaineann leis an úsáideoir atá á imscrúdú. A bhuíochas leis an stampa ama, aimsíonn riarthóir an chórais an logchomhad riachtanach, baintear an fhaisnéis riachtanach amach agus aistríonn sé chuig speisialtóirí slándála é. Féachann siad siúd, ar a seal, tríd agus faigheann siad amach go bhfreagraíonn an seoladh IP ónar seoladh an litir seo do sheoladh IP ríomhaire an úsáideora. Dheimhnigh píosaí scannáin CCTV go raibh an fostaí ag a ionad oibre nuair a seoladh an litir. Ba leor na sonraí seo chun é a chur ina leith gur sháraigh sé rialacha um shlándáil faisnéise agus é a chur trí thine. 

Conas oibriú le logaí Zimbra OSE
Sampla de thaifid faoi cheann de na cuntais a bhaint as an logáil Mailbox.log isteach i gcomhad ar leith

Éiríonn gach rud i bhfad níos casta nuair a thagann sé le bonneagar ilfhreastalaí. Ós rud é go mbailítear logaí go háitiúil, tá sé an-deacair oibriú leo i mbonneagar ilfhreastalaí agus dá bhrí sin is gá bailiú na logaí a lárú. Is féidir é seo a dhéanamh trí óstach a bhunú chun logaí a bhailiú. Níl gá ar leith le hóstach tiomnaithe a chur leis an mbonneagar. Féadfaidh aon fhreastalaí ríomhphoist feidhmiú mar nód chun logaí a bhailiú. Is é ár gcás, is é seo an nód Mailstore01.

Ar an bhfreastalaí seo caithfimid na horduithe thíos a chur isteach:

sudo su – zimbra 
zmcontrol stop
exit
sudo /opt/zimbra/libexec/zmfixperms -e -v

Cuir an comhad /etc/sysconfig/rsyslog in eagar, agus socraigh an SYSLOGD_OPTIONS=” -r -c 2″

Cuir /etc/rsyslog.conf in eagar agus déan trácht ar na línte seo a leanas:
iudp $ModLoad
$UDPSRith 514

Iontráil na horduithe seo a leanas:

sudo /etc/init.d/rsyslog stop
sudo /etc/init.d/rsyslog start
sudo su – zimbra
zmcontrol start
exit
sudo /opt/zimbra/libexec/zmloggerinit
sudo /opt/zimbra/bin/zmsshkeygen
sudo /opt/zimbra/bin/zmupdateauthkeys

Is féidir leat a sheiceáil go bhfuil gach rud ag obair ag baint úsáide as an ordú zmprov gacf | grep zimbraLogHostname. Tar éis an t-ordú a fhorghníomhú, ba cheart ainm an óstaigh a bhailíonn logaí a thaispeáint. D'fhonn é a athrú, ní mór duit an t-ordú zmprov mcf zimbraLogHostname mailstore01.company.ru a chur isteach.

Ar gach freastalaí bonneagair eile (LDAP, MTA agus siopaí ríomhphoist eile), reáchtáil an t-ordú zmprov gacf | grep zimbraLogHostname chun ainm an óstaigh a bhfuil na logaí seolta chucu a fheiceáil. Chun é a athrú, is féidir leat an t-ordú a chur isteach freisin zmprov mcf zimbraLogHostname mailstore01.company.ru

Ní mór duit na horduithe seo a leanas a chur isteach ar gach freastalaí freisin:

sudo su - zimbra
/opt/zimbra/bin/zmsshkeygen
/opt/zimbra/bin/zmupdateauthkeys
exit
sudo /opt/zimbra/libexec/zmsyslogsetup
sudo service rsyslog restart
sudo su - zimbra
zmcontrol restart

Tar éis seo, déanfar gach logáil a thaifeadadh ar an bhfreastalaí a shonraigh tú, áit ar féidir iad a fheiceáil go caothúil. Chomh maith leis sin, i gconsól riarthóir Zimbra OSE, ar an scáileán le faisnéis faoi stádas na bhfreastalaithe, ní thaispeánfar an tseirbhís Logger reatha ach amháin don fhreastalaí mailstore01.

Conas oibriú le logaí Zimbra OSE

Is féidir le tinneas cinn eile do riarthóir súil a choinneáil ar ríomhphost ar leith. Ós rud é go dtéann ríomhphoist i Zimbra OSE trí roinnt imeachtaí éagsúla ag an am céanna: scanadh le frithvíreas, antispam, agus mar sin de, sula nglactar leo nó sula seoltar iad, don riarthóir, mura dtagann an ríomhphost, is féidir go mbeadh sé deacair go leor a rianú cén chéim. cailleadh é.

Chun an fhadhb seo a réiteach, is féidir leat script speisialta a úsáid, a d'fhorbair an speisialtóir slándála faisnéise Viktor Dukhovny agus a mholtar le húsáid ag forbróirí Postfix. Comhcheanglaíonn an script seo iontrálacha ó logaí do phróiseas ar leith agus, mar gheall air seo, ceadaíonn sé duit gach iontráil a bhaineann le litir ar leith a sheoladh bunaithe ar a haitheantóir a thaispeáint go tapa. Táthar tar éis a chuid oibre a thástáil ar gach leagan de Zimbra OSE, ag tosú ó 8.7. Seo é téacs na scripte.

#! /usr/bin/perl

use strict;
use warnings;

# Postfix delivery agents
my @agents = qw(discard error lmtp local pipe smtp virtual);

my $instre = qr{(?x)
	A			# Absolute line start
	(?:S+ s+){3} 		# Timestamp, adjust for other time formats
	S+ s+ 		# Hostname
	(postfix(?:-[^/s]+)?)	# Capture instance name stopping before first '/'
	(?:/S+)*		# Optional non-captured '/'-delimited qualifiers
	/			# Final '/' before the daemon program name
	};

my $cmdpidre = qr{(?x)
	G			# Continue from previous match
	(S+)[(d+)]:s+	# command[pid]:
};

my %smtpd;
my %smtp;
my %transaction;
my $i = 0;
my %seqno;

my %isagent = map { ($_, 1) } @agents;

while (<>) {
	next unless m{$instre}ogc; my $inst = $1;
	next unless m{$cmdpidre}ogc; my $command = $1; my $pid = $2;

	if ($command eq "smtpd") {
		if (m{Gconnect from }gc) {
			# Start new log
			$smtpd{$pid}->{"log"} = $_; next;
		}

		$smtpd{$pid}->{"log"} .= $_;

		if (m{G(w+): client=}gc) {
			# Fresh transaction 
			my $qid = "$inst/$1";
			$smtpd{$pid}->{"qid"} = $qid;
			$transaction{$qid} = $smtpd{$pid}->{"log"};
			$seqno{$qid} = ++$i;
			next;
		}

		my $qid = $smtpd{$pid}->{"qid"};
		$transaction{$qid} .= $_
			if (defined($qid) && exists $transaction{$qid});
		delete $smtpd{$pid} if (m{Gdisconnect from}gc);
		next;
	}

	if ($command eq "pickup") {
		if (m{G(w+): uid=}gc) {
			my $qid = "$inst/$1";
			$transaction{$qid} = $_;
			$seqno{$qid} = ++$i;
		}
		next;
	}

	# bounce(8) logs transaction start after cleanup(8) already logged
	# the message-id, so the cleanup log entry may be first
	#
	if ($command eq "cleanup") {
		next unless (m{G(w+): }gc);
		my $qid = "$inst/$1";
		$transaction{$qid} .= $_;
		$seqno{$qid} = ++$i if (! exists $seqno{$qid});
		next;
	}

	if ($command eq "qmgr") {
		next unless (m{G(w+): }gc);
		my $qid = "$inst/$1";
		if (defined($transaction{$qid})) {
			$transaction{$qid} .= $_;
			if (m{Gremoved$}gc) {
				print delete $transaction{$qid}, "n";
			}
		}
		next;
	}

	# Save pre-delivery messages for smtp(8) and lmtp(8)
	#
	if ($command eq "smtp" || $command eq "lmtp") {
		$smtp{$pid} .= $_;

		if (m{G(w+): to=}gc) {
			my $qid = "$inst/$1";
			if (defined($transaction{$qid})) {
				$transaction{$qid} .= $smtp{$pid};
			}
			delete $smtp{$pid};
		}
		next;
	}

	if ($command eq "bounce") {
		if (m{G(w+): .*? notification: (w+)$}gc) {
			my $qid = "$inst/$1";
			my $newid = "$inst/$2";
			if (defined($transaction{$qid})) {
				$transaction{$qid} .= $_;
			}
			$transaction{$newid} =
				$_ . $transaction{$newid};
			$seqno{$newid} = ++$i if (! exists $seqno{$newid});
		}
		next;
	}

	if ($isagent{$command}) {
		if (m{G(w+): to=}gc) {
			my $qid = "$inst/$1";
			if (defined($transaction{$qid})) {
				$transaction{$qid} .= $_;
			}
		}
		next;
	}
}

# Dump logs of incomplete transactions.
foreach my $qid (sort {$seqno{$a} <=> $seqno{$b}} keys %transaction) {
    print $transaction{$qid}, "n";
}

Tá an script scríofa i Perl agus chun é a rith ní mór duit é a shábháil i gcomhad chóimheas.pl, déan inrite é, agus ansin rith an comhad ag sonrú an logchomhad agus ag baint úsáide as pgrep chun faisnéis aitheantais na litreach atá uait a bhaint collate.pl /var/log/zimbra.log | pgrep'[ríomhphost faoi chosaint]> '. Is é an toradh a bheidh air ná aschur seicheamhach de línte ina bhfuil faisnéis faoi ghluaiseacht na litreach ar an bhfreastalaí.

# collate.pl /var/log/zimbra.log | pgrep '<[email protected]>'
Oct 13 10:17:00 mail postfix/pickup[4089]: 4FF14284F45: uid=1034 from=********
Oct 13 10:17:00 mail postfix/cleanup[26776]: 4FF14284F45: message-id=*******
Oct 13 10:17:00 mail postfix/qmgr[9946]: 4FF14284F45: from=********, size=1387, nrcpt=1 (queue active)
Oct 13 10:17:00 mail postfix/smtp[7516]: Anonymous TLS connection established to mail.*******[168.*.*.4]:25: TLSv1 with cipher ADH-AES256-SHA (256/256 bits)
Oct 13 10:17:00 mail postfix/smtp[7516]: 4FF14284F45: to=*********, relay=mail.*******[168.*.*.4]:25, delay=0.25, delays=0.02/0.02/0.16/0.06, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 878833424CF)
Oct 13 10:17:00 mail postfix/qmgr[9946]: 4FF14284F45: removed
Oct 13 10:17:07 mail postfix/smtpd[21777]: connect from zimbra.******[168.*.*.4]
Oct 13 10:17:07 mail postfix/smtpd[21777]: Anonymous TLS connection established from zimbra.******[168.*.*.4]: TLSv1 with cipher ADH-AES256-SHA (256/256 bits)
Oct 13 10:17:08 mail postfix/smtpd[21777]: 0CB69282F4E: client=zimbra.******[168.*.*.4]
Oct 13 10:17:08 mail postfix/cleanup[26776]: 0CB69282F4E: message-id=zimbra.******
Oct 13 10:17:08 mail postfix/qmgr[9946]: 0CB69282F4E: from=zimbra.******, size=3606, nrcpt=1 (queue active)
Oct 13 10:17:08 mail postfix/virtual[5291]: 0CB69282F4E: to=zimbra.******, orig_to=zimbra.******, relay=virtual, delay=0.03, delays=0.02/0/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Oct 13 10:17:08 mail postfix/qmgr[9946]: 0CB69282F4E: removed

I gcás gach ceist a bhaineann le Zextras Suite, is féidir leat teagmháil a dhéanamh le hIonadaí Zextras Ekaterina Triandafilidi trí ríomhphost [ríomhphost faoi chosaint]

Foinse: will.com