В настоящее время у нас есть ~ 100 серверов, и все они используют удаленный системный журнал, поэтому мы собрали все журналы на одном сервере.
Наша служба поддержки задает наиболее часто задаваемую проблему: было ли доставлено письмо от .... на ...?
Я хотел бы предоставить нашей службе поддержки доступ к некоторому инструменту ведения журнала и некоторому руководству по поиску в журналах. Что бы вы мне порекомендовали? Или вы знаете какие-либо другие альтернативы тестированию?
Проблема с поиском журналов заключается в том, что в одной строке нет адреса отправителя и получателя. Итак, я предположил, что может быть некоторая агрегация по электронной почте.
Logstach и Graylog, вероятно, являются хорошими инструментами для решения вашей проблемы. Но вы могли бы взглянуть на rsyslogd. Вы можете использовать его для указания шаблонов журналов, селектора и фильтров, а также для выполнения различных действий на основе этого. Например, когда строка журнала совпадает с первым регулярным выражением фильтра, она может инициировать вставку в базу данных SQL или добавление документа в любой индекс на основе вашего шаблона и вашего модуля вывода. А второй шаблон может инициировать обновление строки SQL или проиндексированного документа. Хотя это не готовое к использованию решение, оно очень просто в настройке и может значительно упростить поиск.
Если интересно, взгляните на страницы ниже:
Общий совет: должен помочь веб-интерфейс для вашего центрального сервера журналов, тогда для задачи, возможно, потребуется два поиска (один для адреса получателя и один для идентификатора очереди, чтобы увидеть весь процесс). Видеть https://serverfault.com/a/591857/29023
Если вы говорите о большом почтовом сервере, то такое устройство, как Mailtrace может быть правильным решением. (Веб-сайт только на немецком языке, но он делает именно это: предоставляет пользовательский интерфейс службы поддержки для коррелированных почтовых журналов.)