झिंब्रा ओएसई लॉगसह कसे कार्य करावे

घडणार्‍या सर्व घटनांचे लॉगिंग हे कोणत्याही कॉर्पोरेट प्रणालीचे सर्वात महत्वाचे कार्य आहे. लॉग आपल्याला उदयोन्मुख समस्या सोडविण्यास, माहिती प्रणालीच्या ऑपरेशनचे ऑडिट करण्यास आणि माहिती सुरक्षा घटनांची तपासणी करण्यास अनुमती देतात. झिंब्रा OSE त्याच्या ऑपरेशनचे तपशीलवार लॉग देखील ठेवते. त्यामध्ये सर्व्हरच्या कामगिरीपासून वापरकर्त्यांद्वारे ईमेल पाठवणे आणि प्राप्त करण्यापर्यंतचा सर्व डेटा समाविष्ट असतो. तथापि, Zimbra OSE द्वारे व्युत्पन्न केलेले लॉग वाचणे हे एक क्षुल्लक कार्य आहे. या लेखात, एका विशिष्ट उदाहरणाचा वापर करून, आम्ही तुम्हाला झिंब्रा ओएसई लॉग कसे वाचायचे तसेच त्यांना केंद्रीकृत कसे करावे ते सांगू.

Zimbra OSE सर्व स्थानिक लॉग /opt/zimbra/log फोल्डरमध्ये संग्रहित करते आणि लॉग /var/log/zimbra.log फाइलमध्ये देखील आढळू शकतात. यातील सर्वात महत्त्वाचे म्हणजे mailbox.log. ते मेल सर्व्हरवर होणाऱ्या सर्व क्रियांची नोंद करते. यामध्ये ईमेलचे प्रसारण, वापरकर्ता प्रमाणीकरण डेटा, अयशस्वी लॉगिन प्रयत्न आणि इतर समाविष्ट आहेत. mailbox.log मधील नोंदी ही एक मजकूर स्ट्रिंग आहे ज्यामध्ये इव्हेंट कोणत्या वेळी घडला, इव्हेंटचा स्तर, थ्रेड नंबर ज्यामध्ये घटना घडली, वापरकर्ता नाव आणि IP पत्ता, तसेच इव्हेंटचे मजकूर वर्णन असते. .

लॉग पातळी सर्व्हरच्या ऑपरेशनवर इव्हेंटच्या प्रभावाची डिग्री दर्शवते. डीफॉल्टनुसार 4 इव्हेंट स्तर आहेत: माहिती, चेतावणी, त्रुटी आणि घातक. तीव्रतेच्या वाढत्या क्रमाने सर्व स्तर पाहू.

• INFO - या स्तरावरील इव्हेंट्सचा हेतू सामान्यतः Zimbra OSE च्या प्रगतीबद्दल माहिती देण्यासाठी असतो. या स्तरावरील संदेशांमध्ये मेलबॉक्स तयार करणे किंवा हटवणे इत्यादी अहवालांचा समावेश होतो.
• चेतावणी - या स्तरावरील घटना संभाव्य धोकादायक असलेल्या परिस्थितींबद्दल माहिती देतात, परंतु सर्व्हरच्या ऑपरेशनवर परिणाम करत नाहीत. उदाहरणार्थ, WARN पातळी अयशस्वी वापरकर्ता लॉगिन प्रयत्नाबद्दल संदेश चिन्हांकित करते.
• त्रुटी - लॉगमधील ही घटना पातळी स्थानिक स्वरूपातील त्रुटीच्या घटनेबद्दल माहिती देते आणि सर्व्हरच्या ऑपरेशनमध्ये व्यत्यय आणत नाही. हा स्तर एरर फ्लॅग करू शकतो ज्यामध्ये वैयक्तिक वापरकर्त्याचा निर्देशांक डेटा दूषित झाला आहे.
• घातक - ही पातळी त्रुटी दर्शवते ज्यामुळे सर्व्हर सामान्यपणे कार्य करणे सुरू ठेवू शकत नाही. उदाहरणार्थ, FATAL पातळी DBMS शी कनेक्ट करण्यात अक्षमता दर्शविणाऱ्या रेकॉर्डसाठी असेल.

मेल सर्व्हर लॉग फाइल दररोज अद्यतनित केली जाते. फाइलच्या नवीनतम आवृत्तीमध्ये नेहमी Mailbox.log हे नाव असते, तर विशिष्ट तारखेच्या लॉगमध्ये नावात तारीख असते आणि ती संग्रहणात समाविष्ट असते. उदाहरणार्थ mailbox.log.2020-09-29.tar.gz. यामुळे क्रियाकलाप लॉगचा बॅकअप घेणे आणि लॉगमधून शोध घेणे खूप सोपे होते.

सिस्टम प्रशासकाच्या सोयीसाठी, /opt/zimbra/log/ फोल्डरमध्ये इतर लॉग समाविष्ट आहेत. त्यामध्ये केवळ विशिष्ट झिंब्रा OSE घटकांशी संबंधित नोंदी समाविष्ट आहेत. उदाहरणार्थ, audit.log मध्ये केवळ वापरकर्त्याच्या प्रमाणीकरणाविषयी नोंदी असतात, clamd.log मध्ये अँटीव्हायरसच्या ऑपरेशनबद्दलचा डेटा असतो, इत्यादी. तसे, घुसखोरांपासून झिंब्रा ओएसई सर्व्हरचे संरक्षण करण्याची एक उत्कृष्ट पद्धत आहे Fail2Ban वापरून सर्व्हर संरक्षण, जे फक्त audit.log वर आधारित कार्य करते. कमांड कार्यान्वित करण्यासाठी क्रॉन कार्य जोडणे देखील एक चांगला सराव आहे grep -ir "अवैध पासवर्ड" /opt/zimbra/log/audit.logदररोज लॉगिन अयशस्वी माहिती प्राप्त करण्यासाठी.

audit.log दोनदा चुकीचा प्रविष्ट केलेला पासवर्ड आणि यशस्वी लॉगिन प्रयत्न कसा दाखवतो याचे उदाहरण.

झिंब्रा OSE मधील लॉग विविध गंभीर अपयशांची कारणे ओळखण्यासाठी अत्यंत उपयुक्त ठरू शकतात. या क्षणी जेव्हा एखादी गंभीर त्रुटी येते तेव्हा प्रशासकाकडे लॉग वाचण्यासाठी सहसा वेळ नसतो. शक्य तितक्या लवकर सर्व्हर पुनर्संचयित करणे आवश्यक आहे. तथापि, नंतर, जेव्हा सर्व्हर बॅकअप घेतो आणि बरेच लॉग तयार करतो, तेव्हा मोठ्या फाईलमध्ये आवश्यक एंट्री शोधणे कठीण होऊ शकते. एरर रेकॉर्ड त्वरीत शोधण्यासाठी, सर्व्हर कोणत्या वेळी रीस्टार्ट झाला हे जाणून घेणे आणि यावेळेपासूनच्या लॉगमध्ये नोंद शोधणे पुरेसे आहे. मागील एंट्रीमध्ये झालेल्या त्रुटीची नोंद असेल. FATAL हा कीवर्ड शोधून देखील तुम्ही त्रुटी संदेश शोधू शकता.

झिंब्रा ओएसई लॉग तुम्हाला नॉन-क्रिटिकल अपयश ओळखण्याची परवानगी देतात. उदाहरणार्थ, हँडलर अपवाद शोधण्यासाठी, तुम्ही हँडलर अपवाद शोधू शकता. बर्‍याचदा, हँडलर्सद्वारे व्युत्पन्न केलेल्या त्रुटींमध्ये स्टॅक ट्रेस असतो जो अपवाद कशामुळे झाला हे स्पष्ट करतो. मेल डिलिव्हरीमध्ये त्रुटी आढळल्यास, तुम्ही तुमचा शोध LmtpServer कीवर्डसह सुरू केला पाहिजे आणि POP किंवा IMAP प्रोटोकॉलशी संबंधित त्रुटी शोधण्यासाठी, तुम्ही ImapServer आणि Pop3Server कीवर्ड वापरू शकता.

माहिती सुरक्षा घटनांचा तपास करताना लॉग देखील मदत करू शकतात. चला एक विशिष्ट उदाहरण पाहू. 20 सप्टेंबर रोजी, एका कर्मचाऱ्याने क्लायंटला व्हायरस-संक्रमित पत्र पाठवले. परिणामी, क्लायंटच्या संगणकावरील डेटा एनक्रिप्ट केला गेला. मात्र, आपण काहीही पाठवले नसल्याचे कर्मचाऱ्याने शपथेवर सांगितले. घटनेच्या तपासाचा एक भाग म्हणून, एंटरप्राइझ सुरक्षा सेवेने सिस्टम प्रशासकाकडून 20 सप्टेंबरच्या मेल सर्व्हर लॉगची विनंती केली आहे ज्याची चौकशी केली जात आहे. टाइम स्टॅम्पबद्दल धन्यवाद, सिस्टम प्रशासक आवश्यक लॉग फाइल शोधतो, आवश्यक माहिती काढतो आणि सुरक्षा तज्ञांना हस्तांतरित करतो. ते, यामधून, ते पाहतात आणि शोधतात की ज्या IP पत्त्यावरून हे पत्र पाठवले गेले आहे तो वापरकर्त्याच्या संगणकाच्या IP पत्त्याशी संबंधित आहे. सीसीटीव्ही फुटेजने पुष्टी केली की पत्र पाठवले तेव्हा कर्मचारी त्याच्या कामाच्या ठिकाणी होता. हा डेटा त्याच्यावर माहिती सुरक्षा नियमांचे उल्लंघन केल्याचा आरोप करण्यासाठी आणि त्याला काढून टाकण्यासाठी पुरेसा होता. 

Mailbox.log लॉग वरून एका वेगळ्या फाईलमध्ये खात्यांपैकी एकाबद्दल रेकॉर्ड काढण्याचे उदाहरण

जेव्हा मल्टी-सर्व्हर इन्फ्रास्ट्रक्चर येतो तेव्हा सर्व काही अधिक क्लिष्ट होते. नोंदी स्थानिक पातळीवर गोळा केल्या जात असल्याने, त्यांच्यासोबत मल्टी-सर्व्हर इन्फ्रास्ट्रक्चरमध्ये काम करणे फारच गैरसोयीचे आहे आणि त्यामुळे लॉगचे संकलन केंद्रीकृत करण्याची गरज आहे. लॉग गोळा करण्यासाठी होस्ट सेट करून हे केले जाऊ शकते. पायाभूत सुविधांमध्ये समर्पित होस्ट जोडण्याची विशेष आवश्यकता नाही. कोणताही मेल सर्व्हर लॉग गोळा करण्यासाठी नोड म्हणून काम करू शकतो. आमच्या बाबतीत, हा Mailstore01 नोड असेल.

या सर्व्हरवर आम्हाला खालील आदेश प्रविष्ट करणे आवश्यक आहे:

sudo su – zimbra 
zmcontrol stop
exit
sudo /opt/zimbra/libexec/zmfixperms -e -v

/etc/sysconfig/rsyslog फाइल संपादित करा आणि SYSLOGD_OPTIONS=”-r -c 2″ सेट ​​करा

/etc/rsyslog.conf संपादित करा आणि खालील ओळी अनकमेंट करा:
$ModLoad imudp
$UDPServerRun 514

खालील आदेश प्रविष्ट करा:

sudo /etc/init.d/rsyslog stop
sudo /etc/init.d/rsyslog start
sudo su – zimbra
zmcontrol start
exit
sudo /opt/zimbra/libexec/zmloggerinit
sudo /opt/zimbra/bin/zmsshkeygen
sudo /opt/zimbra/bin/zmupdateauthkeys

तुम्ही zmprov gacf | कमांड वापरून सर्वकाही कार्य करत असल्याचे तपासू शकता grep zimbraLogHostname. कमांड कार्यान्वित केल्यानंतर, लॉग गोळा करणार्‍या होस्टचे नाव प्रदर्शित केले जावे. ते बदलण्यासाठी, तुम्ही zmprov mcf zimbraLogHostname mailstore01.company.ru ही आज्ञा प्रविष्ट केली पाहिजे.

इतर सर्व इन्फ्रास्ट्रक्चर सर्व्हरवर (LDAP, MTA आणि इतर मेल स्टोअर्स), लॉग पाठवलेल्या होस्टचे नाव पाहण्यासाठी zmprov gacf |grep zimbraLogHostname कमांड चालवा. ते बदलण्यासाठी, तुम्ही zmprov mcf zimbraLogHostname mailstore01.company.ru कमांड देखील प्रविष्ट करू शकता.

आपण प्रत्येक सर्व्हरवर खालील आदेश देखील प्रविष्ट करणे आवश्यक आहे:

sudo su - zimbra
/opt/zimbra/bin/zmsshkeygen
/opt/zimbra/bin/zmupdateauthkeys
exit
sudo /opt/zimbra/libexec/zmsyslogsetup
sudo service rsyslog restart
sudo su - zimbra
zmcontrol restart

यानंतर, सर्व लॉग तुम्ही निर्दिष्ट केलेल्या सर्व्हरवर रेकॉर्ड केले जातील, जेथे ते सोयीस्करपणे पाहता येतील. तसेच, झिंब्रा OSE प्रशासक कन्सोलमध्ये, सर्व्हरच्या स्थितीबद्दल माहितीसह स्क्रीनवर, चालू असलेली लॉगर सेवा केवळ mailstore01 सर्व्हरसाठी प्रदर्शित केली जाईल.

प्रशासकासाठी आणखी एक डोकेदुखी म्हणजे विशिष्ट ईमेलचा मागोवा ठेवणे. झिंब्रा ओएसई मधील ईमेल एकाच वेळी अनेक वेगवेगळ्या घटनांमधून जात असल्याने: अँटीव्हायरस, अँटीस्पॅम इत्यादीद्वारे स्कॅन करणे, स्वीकारण्यापूर्वी किंवा पाठविण्यापूर्वी, प्रशासकासाठी, ईमेल न आल्यास, कोणत्या टप्प्यावर ट्रेस करणे खूप समस्याप्रधान असू शकते. ते हरवले होते .

या समस्येचे निराकरण करण्यासाठी, आपण एक विशेष स्क्रिप्ट वापरू शकता, जी माहिती सुरक्षा तज्ञ व्हिक्टर दुखोव्हनी यांनी विकसित केली आहे आणि पोस्टफिक्स विकसकांद्वारे वापरण्यासाठी शिफारस केली आहे. ही स्क्रिप्ट विशिष्ट प्रक्रियेसाठी लॉगमधील नोंदी एकत्रित करते आणि यामुळे, तुम्हाला त्याच्या ओळखकर्त्यावर आधारित विशिष्ट अक्षर पाठवण्याशी संबंधित सर्व नोंदी द्रुतपणे प्रदर्शित करण्याची परवानगी देते. 8.7 पासून सुरू होणार्‍या झिंब्रा OSE च्या सर्व आवृत्त्यांवर त्याचे कार्य तपासले गेले आहे. लिपीचा मजकूर येथे आहे.

#! /usr/bin/perl

use strict;
use warnings;

# Postfix delivery agents
my @agents = qw(discard error lmtp local pipe smtp virtual);

my $instre = qr{(?x)
	A			# Absolute line start
	(?:S+ s+){3} 		# Timestamp, adjust for other time formats
	S+ s+ 		# Hostname
	(postfix(?:-[^/s]+)?)	# Capture instance name stopping before first '/'
	(?:/S+)*		# Optional non-captured '/'-delimited qualifiers
	/			# Final '/' before the daemon program name
	};

my $cmdpidre = qr{(?x)
	G			# Continue from previous match
	(S+)[(d+)]:s+	# command[pid]:
};

my %smtpd;
my %smtp;
my %transaction;
my $i = 0;
my %seqno;

my %isagent = map { ($_, 1) } @agents;

while (<>) {
	next unless m{$instre}ogc; my $inst = $1;
	next unless m{$cmdpidre}ogc; my $command = $1; my $pid = $2;

	if ($command eq "smtpd") {
		if (m{Gconnect from }gc) {
			# Start new log
			$smtpd{$pid}->{"log"} = $_; next;
		}

		$smtpd{$pid}->{"log"} .= $_;

		if (m{G(w+): client=}gc) {
			# Fresh transaction 
			my $qid = "$inst/$1";
			$smtpd{$pid}->{"qid"} = $qid;
			$transaction{$qid} = $smtpd{$pid}->{"log"};
			$seqno{$qid} = ++$i;
			next;
		}

		my $qid = $smtpd{$pid}->{"qid"};
		$transaction{$qid} .= $_
			if (defined($qid) && exists $transaction{$qid});
		delete $smtpd{$pid} if (m{Gdisconnect from}gc);
		next;
	}

	if ($command eq "pickup") {
		if (m{G(w+): uid=}gc) {
			my $qid = "$inst/$1";
			$transaction{$qid} = $_;
			$seqno{$qid} = ++$i;
		}
		next;
	}

	# bounce(8) logs transaction start after cleanup(8) already logged
	# the message-id, so the cleanup log entry may be first
	#
	if ($command eq "cleanup") {
		next unless (m{G(w+): }gc);
		my $qid = "$inst/$1";
		$transaction{$qid} .= $_;
		$seqno{$qid} = ++$i if (! exists $seqno{$qid});
		next;
	}

	if ($command eq "qmgr") {
		next unless (m{G(w+): }gc);
		my $qid = "$inst/$1";
		if (defined($transaction{$qid})) {
			$transaction{$qid} .= $_;
			if (m{Gremoved$}gc) {
				print delete $transaction{$qid}, "n";
			}
		}
		next;
	}

	# Save pre-delivery messages for smtp(8) and lmtp(8)
	#
	if ($command eq "smtp" || $command eq "lmtp") {
		$smtp{$pid} .= $_;

		if (m{G(w+): to=}gc) {
			my $qid = "$inst/$1";
			if (defined($transaction{$qid})) {
				$transaction{$qid} .= $smtp{$pid};
			}
			delete $smtp{$pid};
		}
		next;
	}

	if ($command eq "bounce") {
		if (m{G(w+): .*? notification: (w+)$}gc) {
			my $qid = "$inst/$1";
			my $newid = "$inst/$2";
			if (defined($transaction{$qid})) {
				$transaction{$qid} .= $_;
			}
			$transaction{$newid} =
				$_ . $transaction{$newid};
			$seqno{$newid} = ++$i if (! exists $seqno{$newid});
		}
		next;
	}

	if ($isagent{$command}) {
		if (m{G(w+): to=}gc) {
			my $qid = "$inst/$1";
			if (defined($transaction{$qid})) {
				$transaction{$qid} .= $_;
			}
		}
		next;
	}
}

# Dump logs of incomplete transactions.
foreach my $qid (sort {$seqno{$a} <=> $seqno{$b}} keys %transaction) {
    print $transaction{$qid}, "n";
}

स्क्रिप्ट पर्लमध्ये लिहिलेली आहे आणि ती चालवण्यासाठी तुम्हाला ती फाइलमध्ये सेव्ह करावी लागेल collate.pl, ते एक्झिक्युटेबल बनवा, आणि नंतर लॉग फाइल निर्दिष्ट करणारी फाइल चालवा आणि तुम्ही शोधत असलेल्या पत्राची ओळख माहिती काढण्यासाठी pgrep वापरा. collate.pl /var/log/zimbra.log | pgrep'[ईमेल संरक्षित]>'. परिणाम सर्व्हरवरील पत्राच्या हालचालीबद्दल माहिती असलेल्या ओळींचे अनुक्रमिक आउटपुट असेल.

# collate.pl /var/log/zimbra.log | pgrep '<[email protected]>'
Oct 13 10:17:00 mail postfix/pickup[4089]: 4FF14284F45: uid=1034 from=********
Oct 13 10:17:00 mail postfix/cleanup[26776]: 4FF14284F45: message-id=*******
Oct 13 10:17:00 mail postfix/qmgr[9946]: 4FF14284F45: from=********, size=1387, nrcpt=1 (queue active)
Oct 13 10:17:00 mail postfix/smtp[7516]: Anonymous TLS connection established to mail.*******[168.*.*.4]:25: TLSv1 with cipher ADH-AES256-SHA (256/256 bits)
Oct 13 10:17:00 mail postfix/smtp[7516]: 4FF14284F45: to=*********, relay=mail.*******[168.*.*.4]:25, delay=0.25, delays=0.02/0.02/0.16/0.06, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 878833424CF)
Oct 13 10:17:00 mail postfix/qmgr[9946]: 4FF14284F45: removed
Oct 13 10:17:07 mail postfix/smtpd[21777]: connect from zimbra.******[168.*.*.4]
Oct 13 10:17:07 mail postfix/smtpd[21777]: Anonymous TLS connection established from zimbra.******[168.*.*.4]: TLSv1 with cipher ADH-AES256-SHA (256/256 bits)
Oct 13 10:17:08 mail postfix/smtpd[21777]: 0CB69282F4E: client=zimbra.******[168.*.*.4]
Oct 13 10:17:08 mail postfix/cleanup[26776]: 0CB69282F4E: message-id=zimbra.******
Oct 13 10:17:08 mail postfix/qmgr[9946]: 0CB69282F4E: from=zimbra.******, size=3606, nrcpt=1 (queue active)
Oct 13 10:17:08 mail postfix/virtual[5291]: 0CB69282F4E: to=zimbra.******, orig_to=zimbra.******, relay=virtual, delay=0.03, delays=0.02/0/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Oct 13 10:17:08 mail postfix/qmgr[9946]: 0CB69282F4E: removed

Zextras Suite शी संबंधित सर्व प्रश्नांसाठी, तुम्ही Zextras Ekaterina Triandafilidi च्या प्रतिनिधीशी ई-मेलद्वारे संपर्क साधू शकता [ईमेल संरक्षित]

स्त्रोत: www.habr.com