Zimbra OSE 로그로 작업하는 방법

발생하는 모든 이벤트를 기록하는 것은 기업 시스템의 가장 중요한 기능 중 하나입니다. 로그를 사용하면 새로운 문제를 해결하고, 정보 시스템의 운영을 감사하고, 정보 보안 사고를 조사할 수도 있습니다. Zimbra OSE는 또한 작업에 대한 자세한 로그를 유지합니다. 여기에는 서버 성능부터 사용자의 이메일 송수신까지 모든 데이터가 포함됩니다. 그러나 Zimbra OSE에서 생성된 로그를 읽는 것은 다소 간단한 작업이 아닙니다. 이 기사에서는 구체적인 예를 사용하여 Zimbra OSE 로그를 읽는 방법과 이를 중앙 집중화하는 방법을 설명합니다.

Zimbra OSE는 모든 로컬 로그를 /opt/zimbra/log 폴더에 저장하며, 로그는 /var/log/zimbra.log 파일에서도 찾을 수 있습니다. 이 중 가장 중요한 것은 Mailbox.log입니다. 메일 서버에서 발생하는 모든 작업을 기록합니다. 여기에는 이메일 전송, 사용자 인증 데이터, 로그인 시도 실패 등이 포함됩니다. Mailbox.log의 항목은 이벤트가 발생한 시간, 이벤트 수준, 이벤트가 발생한 스레드 번호, 사용자 이름 및 IP 주소, 이벤트에 대한 텍스트 설명이 포함된 텍스트 문자열입니다. .

로그 수준은 해당 이벤트가 서버 운영에 미치는 영향 정도를 나타냅니다. 기본적으로 INFO, WARN, ERROR 및 FATAL의 4가지 이벤트 수준이 있습니다. 심각도가 높아지는 순서대로 모든 수준을 살펴보겠습니다.

• INFO - 이 수준의 이벤트는 일반적으로 Zimbra OSE의 진행 상황을 알리기 위한 것입니다. 이 수준의 메시지에는 사서함 만들기 또는 삭제 등에 대한 보고서가 포함됩니다.
• 경고 - 이 수준의 이벤트는 잠재적으로 위험한 상황에 대해 알려주지만 서버 작동에는 영향을 주지 않습니다. 예를 들어 WARN 수준은 실패한 사용자 로그인 시도에 대한 메시지를 표시합니다.
• ERROR - 로그의 이 이벤트 수준은 본질적으로 로컬 오류가 발생했음을 알리고 서버 작동을 방해하지 않습니다. 이 수준은 개별 사용자의 인덱스 데이터가 손상된 오류를 표시할 수 있습니다.
• FATAL - 이 수준은 서버가 계속해서 정상적으로 작동할 수 없는 오류를 나타냅니다. 예를 들어 FATAL 수준은 DBMS에 연결할 수 없음을 나타내는 레코드에 대한 것입니다.

메일 서버 로그 파일은 매일 업데이트됩니다. 파일의 최신 버전은 항상 Mailbox.log라는 이름을 가지며, 특정 날짜의 로그는 이름에 날짜가 포함되어 있으며 아카이브에 포함되어 있습니다. 예를 들어 mailbox.log.2020-09-29.tar.gz입니다. 이렇게 하면 활동 로그를 백업하고 로그를 검색하는 것이 훨씬 쉬워집니다.

시스템 관리자의 편의를 위해 /opt/zimbra/log/ 폴더에는 다른 로그가 포함되어 있습니다. 여기에는 특정 Zimbra OSE 요소와 관련된 항목만 포함됩니다. 예를 들어 audit.log에는 사용자 인증에 대한 기록만 포함되고 clamd.log에는 바이러스 백신 작업에 대한 데이터 등이 포함됩니다. 그런데 Zimbra OSE 서버를 침입자로부터 보호하는 훌륭한 방법은 다음과 같습니다. Fail2Ban을 이용한 서버 보호, 이는 audit.log를 기반으로 작동합니다. 명령을 실행하기 위해 cron 작업을 추가하는 것도 좋은 습관입니다. grep -ir "잘못된 비밀번호" /opt/zimbra/log/audit.log일일 로그인 실패 정보를 받아보세요.

audit.log가 두 번 잘못 입력된 비밀번호와 성공적인 로그인 시도를 표시하는 방법의 예입니다.

Zimbra OSE의 로그는 다양한 심각한 오류의 원인을 식별하는 데 매우 유용할 수 있습니다. 심각한 오류가 발생하는 순간 관리자는 일반적으로 로그를 읽을 시간이 없습니다. 가능한 한 빨리 서버를 복원해야 합니다. 그러나 나중에 서버가 백업되어 많은 양의 로그가 생성되면 대용량 파일에서 필요한 항목을 찾기가 어려울 수 있습니다. 오류 기록을 빠르게 찾으려면 서버가 다시 시작된 시간을 알고 이 시간부터의 로그 항목을 찾는 것으로 충분합니다. 이전 항목은 발생한 오류에 대한 기록입니다. 키워드 FATAL을 검색하여 오류 메시지를 찾을 수도 있습니다.

Zimbra OSE 로그를 사용하면 중요하지 않은 오류도 식별할 수 있습니다. 예를 들어, 핸들러 예외를 찾으려면 핸들러 예외를 검색하면 됩니다. 핸들러에 의해 생성된 오류에는 예외의 원인을 설명하는 스택 추적이 동반되는 경우가 많습니다. 메일 배달에 오류가 있는 경우 LmtpServer 키워드로 검색을 시작해야 하며, POP 또는 IMAP 프로토콜과 관련된 오류를 검색하려면 ImapServer 및 Pop3Server 키워드를 사용할 수 있습니다.

로그는 정보 보안 사고를 조사할 때도 도움이 될 수 있습니다. 구체적인 예를 살펴 보겠습니다. 20월 20일, 직원 중 한 명이 고객에게 바이러스에 감염된 편지를 보냈습니다. 그 결과 클라이언트 컴퓨터의 데이터가 암호화되었습니다. 그러나 직원은 아무것도 보내지 않았다고 맹세합니다. 사건 조사의 일환으로 기업 보안 서비스는 시스템 관리자에게 조사 중인 사용자와 관련된 XNUMX월 XNUMX일의 메일 서버 로그를 요청합니다. 타임스탬프 덕분에 시스템 관리자는 필요한 로그 파일을 찾고 필요한 정보를 추출하여 보안 전문가에게 전송합니다. 그러면 그들은 그것을 살펴보고 이 편지가 전송된 IP 주소가 사용자 컴퓨터의 IP 주소와 일치한다는 것을 알아냅니다. CCTV 영상을 보면 해당 직원이 편지를 보냈을 당시 직장에 있었던 것으로 확인됐다. 이 데이터는 그를 정보보안 규정 위반 혐의로 기소하고 해고하기에 충분했다. 

Mailbox.log 로그에서 계정 중 하나에 대한 기록을 별도의 파일로 추출하는 예

다중 서버 인프라의 경우 모든 것이 훨씬 더 복잡해집니다. 로그는 로컬에서 수집되기 때문에 다중 서버 인프라에서 작업하는 것은 매우 불편하므로 로그 수집을 중앙 집중화할 필요가 있습니다. 로그를 수집하도록 호스트를 설정하면 됩니다. 인프라에 전용 호스트를 추가할 특별한 필요는 없습니다. 모든 메일 서버는 로그 수집을 위한 노드 역할을 할 수 있습니다. 우리의 경우 이는 Mailstore01 노드가 됩니다.

이 서버에서는 아래 명령을 입력해야 합니다.

sudo su – zimbra 
zmcontrol stop
exit
sudo /opt/zimbra/libexec/zmfixperms -e -v

/etc/sysconfig/rsyslog 파일을 편집하고 SYSLOGD_OPTIONS=”-r -c 2″를 설정합니다.

/etc/rsyslog.conf를 편집하고 다음 줄의 주석 처리를 제거합니다.
$ModLoad imudp
$UDPServerRun 514

다음 명령을 입력합니다.

sudo /etc/init.d/rsyslog stop
sudo /etc/init.d/rsyslog start
sudo su – zimbra
zmcontrol start
exit
sudo /opt/zimbra/libexec/zmloggerinit
sudo /opt/zimbra/bin/zmsshkeygen
sudo /opt/zimbra/bin/zmupdateauthkeys

zmprov gacf | 명령을 사용하여 모든 것이 작동하는지 확인할 수 있습니다. grep zimbraLogHostname. 명령어를 실행하면 로그를 수집하는 호스트의 이름이 표시되어야 합니다. 이를 변경하려면 zmprov mcf zimbraLogHostname mailstore01.company.ru 명령을 입력해야 합니다.

다른 모든 인프라 서버(LDAP, MTA 및 기타 메일 저장소)에서 zmprov gacf |grep zimbraLogHostname 명령을 실행하여 로그가 전송되는 호스트의 이름을 확인합니다. 이를 변경하려면 zmprov mcf zimbraLogHostname mailstore01.company.ru 명령을 입력할 수도 있습니다.

또한 각 서버에 다음 명령을 입력해야 합니다.

sudo su - zimbra
/opt/zimbra/bin/zmsshkeygen
/opt/zimbra/bin/zmupdateauthkeys
exit
sudo /opt/zimbra/libexec/zmsyslogsetup
sudo service rsyslog restart
sudo su - zimbra
zmcontrol restart

그 후, 모든 로그는 귀하가 지정한 서버에 기록되어 편리하게 볼 수 있습니다. 또한 Zimbra OSE 관리자 콘솔의 서버 상태 정보 화면에는 mailstore01 서버에 대해서만 실행 중인 Logger 서비스가 표시됩니다.

관리자의 또 다른 골치 아픈 문제는 특정 이메일을 추적하는 것입니다. Zimbra OSE의 이메일은 수락 또는 전송되기 전에 바이러스 백신, 스팸 방지 등을 통한 검사 등 여러 가지 이벤트를 동시에 거치기 때문에 관리자 입장에서는 이메일이 도착하지 않으면 어떤 단계에서 추적하는 것이 상당히 문제가 될 수 있습니다. 그것은 분실되었습니다.

이 문제를 해결하려면 정보 보안 전문가 Viktor Dukhovny가 개발하고 Postfix 개발자가 사용하도록 권장하는 특수 스크립트를 사용할 수 있습니다. 이 스크립트는 특정 프로세스에 대한 로그 항목을 연결하므로 식별자를 기반으로 특정 문자 전송과 관련된 모든 항목을 빠르게 표시할 수 있습니다. 해당 작업은 8.7부터 Zimbra OSE의 모든 버전에서 테스트되었습니다. 다음은 스크립트의 텍스트입니다.

#! /usr/bin/perl

use strict;
use warnings;

# Postfix delivery agents
my @agents = qw(discard error lmtp local pipe smtp virtual);

my $instre = qr{(?x)
	A			# Absolute line start
	(?:S+ s+){3} 		# Timestamp, adjust for other time formats
	S+ s+ 		# Hostname
	(postfix(?:-[^/s]+)?)	# Capture instance name stopping before first '/'
	(?:/S+)*		# Optional non-captured '/'-delimited qualifiers
	/			# Final '/' before the daemon program name
	};

my $cmdpidre = qr{(?x)
	G			# Continue from previous match
	(S+)[(d+)]:s+	# command[pid]:
};

my %smtpd;
my %smtp;
my %transaction;
my $i = 0;
my %seqno;

my %isagent = map { ($_, 1) } @agents;

while (<>) {
	next unless m{$instre}ogc; my $inst = $1;
	next unless m{$cmdpidre}ogc; my $command = $1; my $pid = $2;

	if ($command eq "smtpd") {
		if (m{Gconnect from }gc) {
			# Start new log
			$smtpd{$pid}->{"log"} = $_; next;
		}

		$smtpd{$pid}->{"log"} .= $_;

		if (m{G(w+): client=}gc) {
			# Fresh transaction 
			my $qid = "$inst/$1";
			$smtpd{$pid}->{"qid"} = $qid;
			$transaction{$qid} = $smtpd{$pid}->{"log"};
			$seqno{$qid} = ++$i;
			next;
		}

		my $qid = $smtpd{$pid}->{"qid"};
		$transaction{$qid} .= $_
			if (defined($qid) && exists $transaction{$qid});
		delete $smtpd{$pid} if (m{Gdisconnect from}gc);
		next;
	}

	if ($command eq "pickup") {
		if (m{G(w+): uid=}gc) {
			my $qid = "$inst/$1";
			$transaction{$qid} = $_;
			$seqno{$qid} = ++$i;
		}
		next;
	}

	# bounce(8) logs transaction start after cleanup(8) already logged
	# the message-id, so the cleanup log entry may be first
	#
	if ($command eq "cleanup") {
		next unless (m{G(w+): }gc);
		my $qid = "$inst/$1";
		$transaction{$qid} .= $_;
		$seqno{$qid} = ++$i if (! exists $seqno{$qid});
		next;
	}

	if ($command eq "qmgr") {
		next unless (m{G(w+): }gc);
		my $qid = "$inst/$1";
		if (defined($transaction{$qid})) {
			$transaction{$qid} .= $_;
			if (m{Gremoved$}gc) {
				print delete $transaction{$qid}, "n";
			}
		}
		next;
	}

	# Save pre-delivery messages for smtp(8) and lmtp(8)
	#
	if ($command eq "smtp" || $command eq "lmtp") {
		$smtp{$pid} .= $_;

		if (m{G(w+): to=}gc) {
			my $qid = "$inst/$1";
			if (defined($transaction{$qid})) {
				$transaction{$qid} .= $smtp{$pid};
			}
			delete $smtp{$pid};
		}
		next;
	}

	if ($command eq "bounce") {
		if (m{G(w+): .*? notification: (w+)$}gc) {
			my $qid = "$inst/$1";
			my $newid = "$inst/$2";
			if (defined($transaction{$qid})) {
				$transaction{$qid} .= $_;
			}
			$transaction{$newid} =
				$_ . $transaction{$newid};
			$seqno{$newid} = ++$i if (! exists $seqno{$newid});
		}
		next;
	}

	if ($isagent{$command}) {
		if (m{G(w+): to=}gc) {
			my $qid = "$inst/$1";
			if (defined($transaction{$qid})) {
				$transaction{$qid} .= $_;
			}
		}
		next;
	}
}

# Dump logs of incomplete transactions.
foreach my $qid (sort {$seqno{$a} <=> $seqno{$b}} keys %transaction) {
    print $transaction{$qid}, "n";
}

스크립트는 Perl로 작성되었으며 이를 실행하려면 파일에 저장해야 합니다. collate.pl, 실행 가능하게 만든 다음 로그 파일을 지정하고 pgrep을 사용하여 찾고 있는 문자의 식별 정보를 추출하는 파일을 실행합니다. collate.pl /var/log/zimbra.log | pgrep '[이메일 보호]>'. 결과는 서버에서의 문자 이동에 대한 정보가 포함된 행의 순차적 출력입니다.

# collate.pl /var/log/zimbra.log | pgrep '<[email protected]>'
Oct 13 10:17:00 mail postfix/pickup[4089]: 4FF14284F45: uid=1034 from=********
Oct 13 10:17:00 mail postfix/cleanup[26776]: 4FF14284F45: message-id=*******
Oct 13 10:17:00 mail postfix/qmgr[9946]: 4FF14284F45: from=********, size=1387, nrcpt=1 (queue active)
Oct 13 10:17:00 mail postfix/smtp[7516]: Anonymous TLS connection established to mail.*******[168.*.*.4]:25: TLSv1 with cipher ADH-AES256-SHA (256/256 bits)
Oct 13 10:17:00 mail postfix/smtp[7516]: 4FF14284F45: to=*********, relay=mail.*******[168.*.*.4]:25, delay=0.25, delays=0.02/0.02/0.16/0.06, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 878833424CF)
Oct 13 10:17:00 mail postfix/qmgr[9946]: 4FF14284F45: removed
Oct 13 10:17:07 mail postfix/smtpd[21777]: connect from zimbra.******[168.*.*.4]
Oct 13 10:17:07 mail postfix/smtpd[21777]: Anonymous TLS connection established from zimbra.******[168.*.*.4]: TLSv1 with cipher ADH-AES256-SHA (256/256 bits)
Oct 13 10:17:08 mail postfix/smtpd[21777]: 0CB69282F4E: client=zimbra.******[168.*.*.4]
Oct 13 10:17:08 mail postfix/cleanup[26776]: 0CB69282F4E: message-id=zimbra.******
Oct 13 10:17:08 mail postfix/qmgr[9946]: 0CB69282F4E: from=zimbra.******, size=3606, nrcpt=1 (queue active)
Oct 13 10:17:08 mail postfix/virtual[5291]: 0CB69282F4E: to=zimbra.******, orig_to=zimbra.******, relay=virtual, delay=0.03, delays=0.02/0/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Oct 13 10:17:08 mail postfix/qmgr[9946]: 0CB69282F4E: removed

Zextras Suite와 관련된 모든 질문은 Zextras Ekaterina Triandafilidi 대표에게 이메일로 문의할 수 있습니다. [이메일 보호]

출처 : habr.com