Назад | Перейти на главную страницу

Postfix - поиск писем (logstash, greylog или другое решение)

В настоящее время у нас есть ~ 100 серверов, и все они используют удаленный системный журнал, поэтому мы собрали все журналы на одном сервере.

Наша служба поддержки задает наиболее часто задаваемую проблему: было ли доставлено письмо от .... на ...?

Я хотел бы предоставить нашей службе поддержки доступ к некоторому инструменту ведения журнала и некоторому руководству по поиску в журналах. Что бы вы мне порекомендовали? Или вы знаете какие-либо другие альтернативы тестированию?

Проблема с поиском журналов заключается в том, что в одной строке нет адреса отправителя и получателя. Итак, я предположил, что может быть некоторая агрегация по электронной почте.

Logstach и Graylog, вероятно, являются хорошими инструментами для решения вашей проблемы. Но вы могли бы взглянуть на rsyslogd. Вы можете использовать его для указания шаблонов журналов, селектора и фильтров, а также для выполнения различных действий на основе этого. Например, когда строка журнала совпадает с первым регулярным выражением фильтра, она может инициировать вставку в базу данных SQL или добавление документа в любой индекс на основе вашего шаблона и вашего модуля вывода. А второй шаблон может инициировать обновление строки SQL или проиндексированного документа. Хотя это не готовое к использованию решение, оно очень просто в настройке и может значительно упростить поиск.

Если интересно, взгляните на страницы ниже:

http://www.rsyslog.com/doc/rsyslog_conf_filter.html

http://www.rsyslog.com/doc/rainerscript.html

Общий совет: должен помочь веб-интерфейс для вашего центрального сервера журналов, тогда для задачи, возможно, потребуется два поиска (один для адреса получателя и один для идентификатора очереди, чтобы увидеть весь процесс). Видеть https://serverfault.com/a/591857/29023

Если вы говорите о большом почтовом сервере, то такое устройство, как Mailtrace может быть правильным решением. (Веб-сайт только на немецком языке, но он делает именно это: предоставляет пользовательский интерфейс службы поддержки для коррелированных почтовых журналов.)