Monitoring / Reporting

Die Überwachung wird mit Hilfe von Checkmk durchgeführt. Parallel dazu werden die Syslogs pro Instanz mittels syslog-ng erfasst.

Die anfallenden Syslogs von postfix und amavis können in Echtzeit zu Syslog-Servern in Ihrer Einrichtung gesendet werden. Die Mail-Administratoren können so das Verhalten der DFN-Gateways genauestens beobachten und alle Vorgänge nachvollziehen. Weiterhin werden hierdurch auch eigene Logauswertungen, Statistiken etc. ermöglicht. Für Mail-Logs gibt es eine ganze Reihe von Tools, die aus den Rohdaten Reports erstellen. Auf der postfix-Addon-Seite finden Sie eine Zusammenstellung und auch auf dieser SpamAssassin-Wikiseite.

Zum Empfang muss Ihre Firewall für syslog (UDP 514, bzw. TCP 10514) und für folgende Netze freigeschaltet werden. In ihnen befinden sich ausschließlich Rechner des DFN-Mailsupport-Dienstes:

194.95.232.0/27         2001:638:d:c301::/123
194.95.234.0/27         2001:638:d:c302::/123
194.95.238.0/27         2001:638:d:c303::/123

Es wird für die Übertragung des syslogs auch Verschlüsselung mit TLS angeboten. Bitte kontaktieren Sie uns, wenn Ihre Einrichtung dies nutzen möchte. Für die Zertifikatserstellung im Rahmen der DFN-PKI wählen Sie bitte den Typ "Webserver". Wenn Sie syslog empfangen und weiterleiten möchten, bitte "Shibboleth IdP SP".

Im folgenden finden Sie Konfigurationstipps für die zwei gebräuchlichsten UNIX-Syslog-Implementationen. Haben Sie noch keinen Syslog-Server im Einsatz empfehlen wir Ihnen einen der beiden. Wenn Sie ausschließlich Windows-Server einsetzen, so finden Sie z.B. hier eine Liste von freien Windows-Implementierungen.

            zgrep -Eho "(RPZAND|RPZOR|RPZDBL|RPZCERT)=" /srv/log/sa/10?-?/202405* | sort | uniq -c | sort -n
        

Variante: Filterung anhand der Absender-IPs

Bei einigen Einrichtungen funktioniert diese Vorgehensweise beim Filtern des syslog besser:

Ergänzungen für TLS

Für die Nutzung von TLS installieren Sie bitte auch das Paket rsyslog_gnutls, evtl. auch rsyslog-gssapi.