Rheinwerk Computing :: Linux-Server

10.6 Monitoring und Logfile-Auswertung

Die Überwachung eines Mailservers ist nicht ganz trivial. Es reicht nicht, zu prüfen, ob Port 25 geöffnet oder der IMAP-Server erreichbar ist. Bei der Verarbeitung einer E-Mail werden viele versteckte Arbeitsschritte durchlaufen, die jeder für sich gesehen scheitern können – selbst der im Hintergrund von Amavis aufgerufene Virenscanner könnte wegen einer defekten Signaturdatei plötzlich seinen Dienst einstellen.

Vergessen Sie auch nicht, dass Ihr Mailserver vielleicht wunderbar funktioniert, wegen Überlastung und Mailstau jedoch derart verzögert seine Mail-Queue abarbeitet, dass Sie das als Fehler in Ihrem Monitoring feststellen wollen, bevor sich die Nutzer beschweren. Zu einer Überwachung eines Mailservers gehören:

die grundsätzliche Systemüberwachung wie bei jedem Server (RAM, Plattenplatz, Temperatur, I/O-Leistung, Connectivity etc.)
die Prüfung der Verfügbarkeit aller gestarteten Dienste (Postfix, Dovecot, Amavis, Clamd, Postgrey etc.)

Aber auch:

die Anzahl der Mails in der Postfix-Queue, also kurzerhand die Anzahl der Dateien in /var/spool/postfix/incoming sowie active und deferred (Stau?). Profis ermitteln das Alter der ältesten Datei in incoming und ziehen so Rückschlüsse auf die Dauer eines etwaigen Rückstaus
die Anzahl der laufenden smtp- bzw. smtpd-Prozesse (Überlastung?). Postfix startet per Default maximal 100 davon.
die Anzahl der laut Prozessliste noch verfügbaren freien Amavis-Prozesse (Zustand avail oder virgin child)

Dazu sei Ihnen allgemein Kapitel 28, »Monitoring – wissen, was läuft«, ans Herz gelegt. Ob Sie diese Parameter am Ende über Nagios, Icinga, Munin, Zabbix, Check-MK oder andere Tools auswerten, bleibt natürlich Ihnen überlassen.

Auch Reporting spielt allgemein eine große Rolle – wobei man sagen muss, dass viele Statistiken recht wertlos sind. Der Prozentsatz der am vergangenen Tag herausgefilterten Spam-Mails sagt zunächst wenig über die Qualität des Spam-Filters aus, sondern ist vielmehr eine Aussage darüber, wie viel Spam überhaupt initial verschickt wurde.

Denn das kann binnen weniger Stunden extrem schwanken, solange einzelne BotnetzBetreiber oft für bis zu 60 % des Spam-Aufkommens verantwortlich sind. Eine statistische Aussage zur Filterqualität müsste also zunächst um das quantitative Grundaufkommen von Spam normalisiert werden.

Aber gerade in Unternehmen sind Statistiken und Reports wichtig, und wer diese partout will, der soll sie auch haben können.

10.6.1 Logfile-Auswertung mit »Pflogsumm«

Das Tool Pflogsumm liefert einen guten täglichen Überblick. Es ist bei Debian/Ubuntu als Paket pflogsumm in den Repositorys vorhanden, und bei CentOS versteckt es sich im Paket postfix-perl-scripts. Bei openSUSE Lap kann es über den SUSE Build Service bezogen werden, den Sie unter http://software.opensuse.org finden.

Dem Programm muss lediglich das auszuwertende Logfile übergeben werden:

mail:~ # pflogsum < /var/log/mail.log

Grand Totals
------------
messages

  42956   received
  27405   delivered
      0   forwarded
     19   deferred  (164  deferrals)
    197   bounced
  26429   rejected (49%)
      0   reject warnings
      0   held
      0   discarded (0%)

   2095m  bytes received
   2841m  bytes delivered
   7829   senders
   2734   sending hosts/domains
   6243   recipients
    782   recipient hosts/domains


Per-Day Traffic Summary
-----------------------
    date          received  delivered   deferred    bounced     rejected
    --------------------------------------------------------------------
    Aug  2 2014       646        382          5          9        302
    Aug  3 2014     42310      27023        159        188      26127

Per-Hour Traffic Daily Average
------------------------------
    time          received  delivered   deferred    bounced     rejected
    --------------------------------------------------------------------
    0000-0100        1023        699          3          4        397
    0100-0200         593        383          4          2        259
    0200-0300         531        316          5          4        342
    0300-0400         577        312          5          1        268
[…]

Host/Domain Summary: Message Delivery
--------------------------------------
 sent cnt  bytes   defers   avg dly max dly host/domain
 -------- -------  -------  ------- ------- -----------
   4244    98333k       0     0.2 s    1.7 s  example.com
   3793   303613k       0     0.1 s    3.7 s  example.net
   3505   448148k       0     0.1 s    6.6 s  example.org
[…]

Listing 10.74 Postfix-Logfile auswerten, Ergebnis als Textdatei