« Widerstand ist notwendig
Postfix-Logdaten schöner auswerten (Teil 2) »

Postfix-Logdaten schöner auswerten

Jetzt hab ich endlich mal Patch-files für meine pflogsumm– und mailgraph-Anpassungen erstellt.

pflogsumm wollte ich beibringen die Logzeilen von postgrey und policyd-weight besser einzuordnen. Postfix gibt den Meldungen der externen policy-daemons nämlich das Präfix “NOQUEUE: reject: RCPT from“. Für pflogsumm heißt das: der Fehler wird durch die Empfängeradresse verursacht, also wird auch die Zusammenfassung nach Empfangsadressen sotiert. — Als Admin interessiert mich die aber nicht; ich will die Client-IP haben, denn an der hängen alle Fehlerquellen (RBL-Einträge, kaputtes HELO, zu schnelle Mailqueue, etc.).

Vorher:


Recipient address rejected: Greylisted (total: 209)
13 fsr-powi@vefa.uni-potsdam.de
12 bugs-gentoo@blubbmon.de
12 fsr-informatik@vefa.uni-potsdam.de
10 amnesty@mail.asta.uni-potsdam.de
10 fsr-avl@vefa.uni-potsdam.de
[...]

Nachher:


Recipient address rejected: Greylisted (total: 93)
33 brasiltelecom.net.br
24 codetel.net.do
9 hawaiiantel.net
[...]

Der Patch für pflogsumm-1.1.1 ist recht simpel und fügt für diesen Fall eine neue Regexp ein.

Mit Mailgraph wollte ich verschiedene Reject-Gründe einzeln zählen lassen um zu sehen warum überhaupt abgelehnt wird (und damit auch welchen quantitativen Einfluss z.B. RBLs und Greylisting haben). Dafür lasse ich eine neue RRD-Datei anlegen und definiere eine Handvoll Kategorien mit Regexpes um die Reject-Logzeilen zu klassifizieren.

Weil ich in der Visualisierung keinen dritten Graphen haben will, hab ich die Virus/Spam/Bounce-Graphik extrem umgebaut. (Code-Schnipsel für eine extra Rejects-Graphik hab ich noch irgendwo; ist aber nicht im Patch.)

Hier ist der Patch für mailgraph-1.14. Wie der entstehende Graph aussieht ist auf diesem Mailserver zu bewundern.

Generelles Problem solcher Erweiterungen ist natürlich die Zahl der verschiedenen Tools und Logmeldungen, sowie die Unmöglichkeit alle möglichen Formate einzeln zu erfassen. (Jim Seymour sagt in der pflogsumm-FAQ z.B. explizit, dass er in pflogsumm keine Zusatzmeldungen berücksichtigen wird.)

This entry was posted on Sunday, December 30th, 2007 at 21:06 and is filed under Admin, E-Mail, Syslog. You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

Comments are closed.