Guide de configuration et d`utilisation de l`analyseur de

Transcription

Le Serveur de communication IceWarp
Configuration et
utilisation de l'analyseur
de Journaux
Version 10.3
Juin 2011
© Icewarp France / DARNIS Informatique
i
Sommaire
Configuration et utilisation de l'analyseur de journaux
2
Introduction ................................................................................................................ 2
Présentation de l'analyseur de journaux ......................................................................... 2
Importation des journaux ............................................................................................. 3
Configuration ..................................................................................................... 3
Importer les journaux dans la base de données ...................................................... 6
La visualisation des journaux ........................................................................................ 6
Configuration du visionneur de journaux ....................................................... 6
Visualisation des statistiques ....................................................................... 9
Message de statistiques .............................................................................................. 12
2
Configuration et utilisation
de l'analyseur de journaux
Introduction
Ce document précise les différentes étapes dans la mise en œuvre de l'analyseur de journaux (ILA Icewarp Log Analyser).
Il est destiné aux administrateurs qui désirent mettre en œuvre l'analyseur de journaux pour obtenir
une vue synthétique du fonctionnement de leur serveur.
Les journaux analysés sont actuellement : SMTP, POP3, IMAP, Anti-Virus et Anti-Spam. D'autres
journaux et d'autres formats de sortie seront proposés au fur et à mesure des nouvelles versions
d'IceWarp.
L'utilisation de cet outil nécessite une licence. Cette licence est attachée au serveur IceWarp qui
exporte ses données, elle n'est pas attachée à l'outil de présentation lui même (le visionneur) qui peut
être exécuté sur autant de machines que nécessaire.
Présentation de l'analyseur de journaux
L'analyseur de journaux est un outil d'analyse statistique et logique des journaux générés par le
serveur IceWarp.
Son fonctionnement est divisé en 2 étapes :
1. L'importation des journaux générés par le serveur dans une base de données
Cette importation est effectuée par l'intermédiaire de la console d'administration d'IceWarp. Une
fois la configuration définie, l'importation est effectuée quotidiennement de façon automatique. Les
données du plusieurs serveurs peuvent être exportées dans la même base de données.
2. La visualisation des données qui peut être exécutée de deux façons :
3
- Par le visionneur des journaux
Ces requêtes sont effectuées à partir d'un outil graphique externe (ila.exe) qui permet
d'exécuter des requêtes prédéfinies ou des requêtes spécifiques sur la base de données
contenant les journaux importés. Cet outil peut s'exécuter sur n'importe quelle machine
capable d’accéder à la base de données des journaux.
- Par les messages de statistiques
Une synthèse prédéfinie peut être envoyée quotidiennement à un administrateur.
Voir la configuration et un exemple dans le paragraphe correspondant.
Importation des journaux
Configuration
L'analyseur de journaux fonctionne avec des bases de données suivantes : MS Access, MySQL, MS
SQL. MS Access n'est pas conseillé si les volumes sont importants.
Le système est prédéfini avec une base MS Access (…\icewarp\loganalyzer\loganalyzer.mdb) et peut
fonctionner de cette façon si la charge n'est pas trop importante (les journaux sont de petite taille).
Pour utiliser une autre base, il faut :

Installer le logiciel base de données (MS SQL ou MySQL)

Créer la base de données dédiée avec l’interface native du SGBD
Il n'y a pas besoin de créer les tables, elles seront crées automatiquement dès la première utilisation.
Sous Linux, il faut passer par un driver ODBC.
Pour que des données soient importées, il faut :

Que les journaux des services à analyser soient activés (afin d‘avoir des données brutes à
analyser) :
Système -> Services -> onglet Général -> mettre la colonne Journaux en mode Etendu.

4
Activer l'analyseur de journaux
Etat -> Analyseur de journaux -> onglet Général -> Activer et sélectionner les journaux à traiter

Configurer l'accès à la base de données
Etat -> Analyseur de journaux -> onglet Général -> bouton "Paramètres BD..."
Indiquer le nom de la base, le nom/IP du serveur BD, le compte d'accès à la base et son mot de
passe. Voici un exemple pour MySQL :

5
Définir les options d'importation
Dans Etat -> Analyseur de journaux -> onglet Général -> Options
L'option "Importer l'intégralité des données" permet d'importer, en plus des informations
nécessaires aux requêtes standards, toutes les autres informations. Ceci permet de définir des
requêtes spécifiques sur des données qui ne sont normalement pas importées mais augmente
sensiblement la taille du fichier d'importation et de la base.
Le champ "ID serveur" permet de donner un numéro à ce serveur ce qui permet de le
différencier des autres serveurs importés lorsque les données de plusieurs serveurs sont
mémorisées dans la même base de données.

Définir les options de maintenance
Etat -> Analyseur de journaux -> onglet Général -> Maintenance
Il est possible de vider les tables avant les importations (manuelles ou automatiques) ce qui limite
la mémorisation des données à une journée ou de supprimer les données au bout d'un certain
nombre de jours.
Il est possible de définir une séquence SQL qui sera lancée avant la suppression des données
(Cette option n’est possible que si l'option de suppression des données anciennes est activée).

Emettre des rapports de statistiques
Etat -> Analyseur de journaux -> onglet Statistiques
Cette option permet de recevoir par mail une synthèse des statistiques du système. Ce mail est
envoyé tous les jours aux adresses indiquées dans le champ "A". Plusieurs adresses de
messagerie peuvent être indiquées, séparées par des virgules. Un exemple de message envoyé
est donné à la fin de ce document.
6
Importer les journaux dans la base de données
Les journaux sont importés :

Soit manuellement : aller dans Etat -> Analyseur de journaux -> onglet Général -> bouton
"Importer" et choisir une date dans le calendrier affichée. Le calendrier s'arrête à la date du jour.
Un message indiquant le lancement de l’action d’importation en tâche de fond s’affiche.
S’il s’agit de la toute première importation, c’est à ce moment que les tables sont crées dans la
base de données

Soit automatiquement tous les jours (entre 2h00 et 2h30).
Un journal d’importation est accessible dans Etat -> Journaux -> Analyseur de journaux.
La visualisation des journaux
Configuration du visionneur de journaux
Le visionneur peut être lancé :

Soit par la console d'administration (Analyseur de journaux -> onglet Général -> bouton
"Visionneur").

Soit en lançant directement l'application de l'analyseur : ila.exe (à recopier à partir du répertoire
loganalyzer d'IceWarp). Il peut être exécuté à distance, il suffit donc de télécharger la console
distante.
Il est possible de choisir la langue dans le menu Options -> Langues.
7
Pour MySQL, il faut installer le driver ODBC (version 3.51 ou 5.1).
Pour configurer l'accès à la base de données, ouvrir le visionneur :
puis faire un clic droit et lancer "Modifier" sur le menu "Default" et modifier la configuration ou double
cliquer sur "nouvelle" pour créer un nouveau lien. On obtient la fenêtre suivante lorsque le driver
MySQL ODBC est choisi :
Il faut alors rentrer les paramètres de la base de données : serveur, nom de la base, utilisateur et mot
de passe.
Une nouvelle base apparaît dans le menu "Connexion base de données".
8
Options sur les domaines locaux
L'analyseur permet d'avoir des statistiques sur les messages qui sont émis et reçus par domaine. Il est
possible de restreindre ces statistiques aux domaines locaux (option "uniquement le domaine
local") mais il faut pour cela que le système les connaisse.
Options -> Paramètres ouvre la fenêtre sur les domaines locaux :
Les options sont les suivantes :
aucun : le système ne fait pas la différence entre les domaines locaux et les autres, les statistiques
sont quand même exploitables.
API : si l'analyseur est lancé sous le répertoire de IceWarp, cette solution est la plus simple mais elle
ne fonctionne que dans ce cas.
URL : c'est une page web qui retourne la liste des domaines. C'est la meilleure solution, après la
précédente, car la liste est unique et peut être mise à jour facilement.
Fichier : C'est un fichier ascii qui contient la liste des domaines (un par ligne). Le serveur IceWarp
contient un outil qui permet de créer automatiquement cette liste, i faut se placer dans l'invite de
commande Windows dans le répertoire principal d'IceWarp et lancer :
tool.exe export domain * > file_list.txt
9
Visualisation des statistiques
Pour visualiser les données, il faut alors :
-
Sélectionner la base de données dans le menu "Database connections" puis double cliquer
dessus (elle doit apparaître en gras)
-
Sélectionner le menu que l'on souhaite visualiser par un double clic
-
Cliquer sur le bouton
pour actualiser les données (ce bouton doit être utilisé à chaque fois
qu'un nouveau menu est sélectionné) et ouvrir une nouvelle fenêtre.
On obtient alors par exemple avec le menu Global :
10
Les catégories suivantes sont associées à chaque message :
ANA
Message refusé : Accès non autorisé
AS
Message refusé : Anti spam
AV
Message refusé : Anti Virus
CA
Message transmis à une adresse collectrice
CNC
La session client SMTP a échoué (connexion impossible)
DBF
Message supprimé par un filtre
DNSBL
La session a été refusée parce que l'adresse de l'émetteur est en liste noire
ERROR
Message refusé à cause d'une erreur inconnue (domaine sans adresse ou sans rDNS)
GRLST
Message refusé par la liste grise
INCPLT
Session incomplète
MS
Taille du message
OK
Message transmis correctement
SCAN
Une connexion a été établie mais aucun message transmis
SDME
Message refusé : le domaine de l'émetteur n'existe pas
TARP
Message refusé par le mécanisme de prévention des intrusions
TIMEOUT
Déclenchement d'une temporisation pendant une session
UNK
Message refusé : le destinataire est inconnu
WDNR
Message refusé : le relayage est interdit
Exemple de recherche des messages émis par une adresse mail :
11
Visualisation du calendrier indiquant les données présentes dans la base (double cliquer sur le
menu Calendrier) :
Message de statistiques
Ce message est configuré dans l'onglet Statistiques du menu Analyseur de journaux :
Voici un exemple de message obtenu lorsque la synthèse porte sur une seule journée :
Loganalyzer Statistics for server main
(processed at 01:21:28 23/08/2010)
SMTP - Messages received
SMTP - Messages sent
SMTP - Incoming messages
SMTP - Outgoing messages
SMTP - Most Active Recipient's Domains
SMTP - Most Active Sender's Domains
SMTP - Most Active Sender's Users
SMTP - Results
POP3 - log rows
POP3 - Most Active IPs
POP3 - Most Active By Connections
POP3 - Most Active By Size
POP3 - Top 20 mailboxes by size
POP3 - Result
Antispam - log rows
Antispam - log rows by action
Antispam - log rows by components
Antivirus - log rows
SMTP - Messages received
Number of messages received in the last 7 days.
Date
22/08/2010
Count
1422
Accepted
17
Rejected
1405
SMTP - Messages sent
Number of messages sent in the last 7 days.
12
Date
22/08/2010
Count
5
Accepted
5
Rejected
0
SMTP - Incoming messages
Number of incoming messages (top 20 IP)
IP
60.166.96.240
202.188.29.91
94.215.14.57
82.224.20.207
41.220.237.90
178.175.114.48
82.42.224.156
77.36.96.43
127.0.0.1
118.71.145.117
123.237.204.13
188.51.78.22
66.43.62.8
79.175.170.13
117.199.182.44
117.194.225.9
86.152.174.234
188.62.207.120
85.54.184.226
41.178.113.165
Count
104
30
18
16
15
10
9
8
8
7
7
6
6
6
5
5
5
5
5
5
Accepted
0
0
0
0
0
0
0
0
8
0
0
0
3
0
0
0
0
0
0
0
Rejected
104
30
18
16
15
10
9
8
0
7
7
6
3
6
5
5
5
5
5
5
SMTP - Outgoing messages
Number of outgoing messages (top 20 IP)
IP
93.17.128.85
93.17.128.5
127.0.0.1
93.17.128.14
Count
2
1
1
1
Accepted
2
1
1
1
Rejected
0
0
0
0
Number of mails received for Top 20 recipient's domains.
Domain
any78.org
laberverie.com
yahoo.com
talkingmedicine.com
ymcachgo.org
firstteamhonda.com
marklehman.com
go2delphi.com
farrington.com
scottiescanvas.com
kyoshoku-c.co.jp
in.ngb.army.mil
vinc3nt.com
hartonsa.com
datastrip.net
boersemabv.nl
iceusa.com
evrotex.com
ecornell.com
dambrewery.com
Count
712
282
60
45
9
6
6
6
6
5
3
3
3
3
3
3
3
3
3
3
Accepted
1
4
0
4
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
Rejected
711
278
60
41
9
6
6
6
6
5
3
3
3
3
3
3
3
3
3
3
13
Number of mails sent for Top 20 recipient's domains.
Domain
mennesson
darnis.com
neuf.fr
english-talking-medicine.com
lpo.fr
Count
1
1
1
1
1
SMTP - Most Active Sender's Domains
Number of mails processed for Top 20 sender's domains.
Count
145
81
25
16
13
12
10
10
10
10
10
10
9
9
8
8
8
8
7
7
Domain
any78.org
laberverie.com
comcast.net
talkingmedicine.com
btcentralplus.com
rr.com
recoil.com
roweholdings.com
research-insight.com
rautaruukki.com
mailpride.com
rouit.com
arcor-ip.net
virginmedia.com
fpt.vn
charter.com
mashable.com
telesp.net.br
t-ipconnect.de
jalopnik.com
SMTP - Most Active Sender's Users
Count
2
2
1
1
Domain
[email protected]
[email protected]
cobian@mennesson
[email protected]
SMTP - Results
Count
660
426
239
50
22
13
9
6
2
RESULT
TARP
ERROR
ANA
SCAN
OK
UNK
GRLST
WDNR
INCPLT
Tarpitting
Generic Error
Access Not Allowed
Port Scan
OK
User Unknown
Greylisting (temporary error)
We Do Not Relay
Incomplete Session
POP3 - log rows
Count Date
437 22/08/2010
POP3 - Most Active IPs
Count IP
40 93.17.128.8
8.128.17-93.rev.gaoland.net
Accepted
1
1
1
1
1
Rejected
0
0
0
0
0
14
38
38
37
35
35
30
29
28
28
24
24
23
23
2
1
193.252.22.56
93.17.128.17
193.252.23.65
80.12.242.149
93.17.128.87
93.17.128.26
193.252.22.90
80.12.242.143
80.12.242.51
80.12.242.8
80.12.242.60
80.12.242.90
80.12.242.14
81.88.48.101
213.186.33.20
pop.orange.fr
pop.orange.fr
pop.orange.fr
pop.orange.fr
pop.orange.fr
pop.orange.fr
pop.orange.fr
pop.orange.fr
pop.orange.fr
massenet.register.it
ns0.ovh.net
POP3 - Most Active By Connections
Count
142
142
141
6
1
1
1
1
Account
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
POP3 - Most Active By Size
Top 20 account with largest POP3 traffic
Size [MB]
,000
,000
,000
,000
,000
,000
,000
,000
Account
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
POP3 - Top 20 mailboxes by size
Top 20 mailboxes with largest disk space occupation
Size [MB]
,004
,000
,000
,000
,000
,000
,000
,000
Account
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
POP3 - Result
Count
437 OK
Antispam - log rows
Count Date
36 22/08/2010
OK
15
Antispam - log rows by action
Count
18
16
2
Action
NONE
DELETE
SPAM
Antispam - log rows by components
Count Components
1 BODY, SPAMASSASSIN,
1 BAYES, SPAMASSASSIN,
Antivirus - log rows
Count Date
89 22/08/2010
16

Guide de configuration et d`utilisation de l`analyseur de

Transcription

Documents pareils

Koopjeskrant - X

7 autour du monde Astrapi Belles histoires de Pomme d`Api Cheval

Fiche de présentation d`une séquence TICE : Nom, prénom de l

Dématérialisation des journaux de tranchées

Notices nécrologiques

Le plan de classement de la bibliothèque

revue_presse_college.. - Association Jets d`encre

IceWarp Collaboration Server

Julie-Victoire DAUBIE (1824

Point d`apport volontaire