[Postfixbuch-users] Fehlermeldungen von Postfix

[thomas polnik]

Hallo Jim,
> kannst Du bitte mal Deine Erfahrung bei der Installation
> und Einrichtung von Logsurfer mitteilen.
> Gern auch per PM.

Viel kann ich dazu noch nicht sagen. Logsurfer scheint mir aber nur
bedingt dazu geeignet zu sein, die Loginformationen von postfix
umfassend auszuwerten. Der Sinn von logsurfer ist ja, einen Kontext um
ein bestimmtes Ereignis aufzuspannen und alle Informationen in einem
Kontext zu sammeln.
Da aber Postfix in viele kleine Programme aufgeteilt ist, was ja aus
Sicherheitsgründen auch Sinn macht, ist es ziemlich schwierig (aber
sicherlich nicht unmöglich), die verschiedenen Einträge der eizelnen
Programme in _einem_ Kontext zu sammeln.

Etwas wie

Jun 16 16:08:32 herkules postfix/smtpd[5845]: connect from
lns-p19-7-82-65-214-87.adsl.proxad.net[82.65.214.87]
Jun 16 16:08:32 herkules postfix/smtpd[5845]: 7677B72E0A:
client=lns-p19-7-82-65-214-87.adsl.proxad.net[82.65.214.87]
Jun 16 16:08:32 herkules postfix/smtpd[5845]: reject: RCPT from
lns-p19-7-82-65-214-87.adsl.proxad.net[82.65.214.87]: 554
<rcpt_to at servertest.com>: Recipient address rejected: Relay access
denied; from=<mail_from at servertest.com> to=<rcpt_to at servertest.com>
Jun 16 16:08:42 herkules postfix/smtpd[5845]: lost connection after RCPT
from lns-p19-7-82-65-214-87.adsl.proxad.net[82.65.214.87]
Jun 16 16:08:42 herkules postfix/smtpd[5845]: disconnect from
lns-p19-7-82-65-214-87.adsl.proxad.net[82.65.214.87]

in einem Kontext zu sammeln, ist einfach, da man nur nach smtpd, pid und
IP filtern braucht. 

Willst Du aber soetwas wie 

Jun 17 11:11:47 herkules postfix/smtpd[27165]: connect from
ilpostino.jpberlin.de[62.8.206.157]
Jun 17 11:11:47 herkules postfix/smtpd[27165]: 334C272E0A:
client=ilpostino.jpberlin.de[62.8.206.157]
Jun 17 11:11:47 herkules postfix/cleanup[27166]: 334C272E0A:
message-id=<20030617090433.GM15928 at charite.de>
Jun 17 11:11:47 herkules postfix/smtpd[27165]: disconnect from
ilpostino.jpberlin.de[62.8.206.157]
Jun 17 11:11:47 herkules postfix/qmgr[13350]: 334C272E0A:
from=<postfixbuch-users-bounces at listi.jpberlin.de>, size=4610, nrcpt=1
(queue active)
Jun 17 11:11:50 herkules postfix/local[27167]: 334C272E0A:
to=<thomas.polnik at idpraxis.de>, relay=local, delay=3, status=sent 

in _einem_ Kontext sammeln, wünsche ich Dir viel Spaß bei der Definition
des regex; und das ist noch ein einfaches Beispiel. Wenn die Email noch
über 2-3 Aliaseinträge geschickt wird...  Eher verzichtet man darauf. 
Ich habe auch keine Beispiele für Postfix gefunden, die soetwas machen.
Die Beispiele beschränken sich eher auf die einfache Variante: Suche
nach bestimmten Zeilen und melde sie. Wenn man den genauen Weg der
Email/Verbindung, die diesen Fehler verursacht hat, verfolgen will, muß
man sich den Kontext wieder selbst aus dem Logfile zusammensuchen
(Sofern es dann noch da ist.).
  
Infos rund um logsurfer sind wirklich schwer zu finden, jedenfalls habe
ich nicht viel gefunden (weder auf Webseiten noch in Gruppen). Nach
einigem Suchen haben ich aber eine gute Anlaufstelle in Form einer
Mailingliste gefunden, auf der man schnell und gute Antworten bekommt.

http://lists.shmoo.com/mailman/listinfo/loganalysis

Die Übersetzung von logsurfer funktioniert mit den Standardeinstellungen
eigentlich reibungslos (./configure; make; make install). Nutzt man aber
die Option prefix=/irgend/wo/im/dateisystem/logsurfer wird die
logsurfer.conf trotzdem fest nach /usr/local/etc/logsurfer.conf
eincompiliert. Hier muß dann das Makefile entsprechend angepaßt werden,
wenn die Datei unterhalb von /irgend/wo/im/dateisystem/logsurfer/etc
gesucht werden soll.  
 
> Welches OS benutzt Du?

Linux in verschiedenen Distributionen, aber vorwiegend SuSE.

Wenn Du mit logsurfer gerade anfängst, erstelle Dir kleine einfache
Testkonfigurationen, um die Funktionsweise von logsurfer zu verstehen.
Sich gleich auf die richtigen Logfiles zu stürzen kann u.U. sehr
frustrierend werden.
 

Viele Grüße
thomas polnik