Monitorowanie serwera pocztowego postfix.
Artykuł ten pokaże koljny przykład użycia sensora logów tekstowych. Dowiesz się jak nie tylko wyzwolić alert gdy spełnione są określone warunki, ale też jak dodać informację bezpośrednio do treści alertu. Informacja taka często kazuje się istotna do szybkiego zdiagnozowania i rozwiązania problemu, bez konieczności ręcznego rpzeglądania logu.
Podstawowe informacje o monitorowaniu logów tekstowych zawarte są w tym artykule.
Opis sytuacji
Chcielibyśmy aby NetCrunch powiadamiał nas o sytuacji gdy usługa pocztowa Posfix nie może dostarczyć wiadomości e-mail do serwera odbiorcy. Sytuacja taka zapisywana jest w logu za pomocą wpisu: deferred.
Dodatkowo, w celu przyspieszenia diagnostyki, chcielibyśmy by NetCrunch dodał informację ESMTP w treści alertu, która dostarczy nam więcej szczegółów o tym problemie.
Interesują nas wpisy do logu podobne do poniższego:
Jun 26 04:38:12 mail postfix/smtp[17532]: 1741E447CA00: to=<yourmail@mail.com>, relay=aa.mail.mail.com[123.123.123.123]:25, delay=290344, delays=290344/0.07/0.21/0, dsn=1.2.3, status=deferred (host aa.mail.mail.com[123.123.123.123] refused to talk to me: 123-aa.mail.mail.com ESMTP 450 4.7.1 Client host rejected: cannot find your reverse hostname, [123.123.123.12])
Na podstawie takiego wpisu, sensor monitorujący logi tekstowe wyzwoli alert jesli wykryje sytuację status=deferred. NetCrunch dołoży informację ESMTP do alertu. W ten sposób nie będziemy musieli ręcznie przeszukiwać logu postfix w poszukiwaniu tej informacji.
Definiowanie wydażenia parsującego tekst
Więcej szczegółów na temat tworzenia nowego wyrażenia parsującego znajduje się w tym artykule.
W pierwszej kolejności należy utworzyć Wyrażenie parsujące tekst, jak pokazane na ekranie poniżej.
Wyrażenie regularne: .*postfix\/smtp.*status=(\S*).*ESMTP (.*)\)
To wyrażenie regularne wymaga tylko dwóch zmiennych: NetCrunch będzie przeszukiwał wartości pola statusu oraz odpowiedzi ESMTP. Pozostała treść logu będzie pomijana.
Tworzenie sensora z regułą alertującą
Po dodaniu sensora musimy zdefiniować tylko jedną regułę alertową: gdy status zawiera deferred
Wynik
NetCrunch będzie wyzwalał alerty w sytuacji gdy w nowym wpisie do logu tekstowego postfix pojawi się status deferred. Odpowiedź ESMTP zostanie dołączona do treści alertu. Aby zobaczyć je, należy kliknąć przycisk Pokaż parametry w prawej częsci okna.
NetCrunch daje wiele możliwości wykrywania, diagnostyki i rozwiązywania problemów sieci. Monitorowanie logów tekstowych i powiadamianie o konkretnych typach wpisów pozwala wydatnie skrócić czas usuwania problemów.
Wszystkie nazwy DNS i adresy IP są losowe i ich związek z prawdziwymi nie jest zamierzony.