Splunk for 邮件系统(Exchange Mail Server) and 目录

Splunk for 邮件系统(Exchange Mail Server) and 目录服务(AD)管理与应用

作者:徐逸平

对企业来说,回应客户问题的时间长短反映出一个企业的竞争力。 对IT人员来说,回应使用者问题的时间长短与提升资讯系统效率的能力,反映出一个IT人员对企业的贡献度。 当IT人员管理的系统规模越来越大、数量越来越多、系统关联性越来越高,IT人员要找出问题的症结,所需的不只是个人的知识与经验更需要一种高效率的工具。 现今的IT管理人员每天面对各式各样的资讯设备与各种软体,其运行的纪录散落在各处,犹如一座座彼此不相关联的孤岛,但其脉络实际上却潜藏其下。 过去IT 人员必须一处处前往检视在繁杂的纪录中寻找有用的资讯,试着找出问题解决方案或突破效率瓶颈方法的蛛丝马迹。 现在透过Splunk,IT人员可以操作着简易且具有亲和力的Web介面,把一座座资讯孤岛联结成可以交叉查询的网络,将IT管理上有价值的资讯搜集起来并且能以图表的形式展现出来。 Google帮助网际网路的使用者轻松地找出所需要的资讯,Splunk不只帮助IT管理人员将需要的资讯找出来,更重要的是可以透过统计图表让资讯更容易被消化,借着警示与触发提升资讯的价值。

Splunk For 目录服务(Active Directory) 与邮件系统(Exchange)的特色

在现今的商业环境中,电子邮件已经成为企业对内对外传递讯息不可或缺的一项工具,即便是一封简短的索取报价的电子邮件,背后都可能代表着一项巨大的商机,因此掌握所属企业的电子邮件系统的运作概况,进而维护电子邮件系统的稳定也成为IT 人员必须面对的一项课题。

Exchange Server 是微软提供的电子邮件系统软体,广泛地被国内外的企业所采用。 过去要分析Exchange日志档并不是一件容易的事,尤其是企业使用电子邮件发送讯息相当频繁,纪录档的资料量也一定相当庞大,若是管理人员要一笔一笔地去查看资料必定旷日废时,也是一项沉重的负荷,更遑论要从中加以分析并掘取有价值的资讯。 现在藉由Splunk 以及SplunkBase 所提供的工具,依客户需求直接规画使用,可以让管理人员更快速地集资讯并且加以统计分析。 藉由Splunk for Exchange的应用,如收件者或寄件者使用排行榜(图一),以追踪电子邮件使用者异常行为分析,或透过电子邮件画流量分析(图二),以找出有没有使用者的发信的流量暴增或有人入侵大量发送电子报等异常问题,并可产生客户所需要的报表。 一旦Exchange发生问题,使用Splunk for Exchange,管理人员将可以快速找出问题的根源,而不再凭经验找问题,而延误商机,以致造成公司严重的损失。

Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

图一某一段时间内收件者或寄件者的使用排行榜

Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

图二Splunk 的邮件流量统计与平均流量

目录服务(Active Directory)是Windows平台上的重要元件,许多微软的软体都会运用到这项元件,将许多重要的资讯记录在Active Directory上,所以管理人员要更深入一层地了解目前电子邮件系统的运行状况或者是维护其他与Active Directory有关的系统时,必定要了解Active Directory的状况。 透过Splunk管理人员可以了解Active Directory中许多重要的资讯,藉由Splunk for AD,可依客户对于IT设备的使用状况与负载量方面需求,直接规画使用,以提供健康诊断服务及产生客户所要的报表,快速地掌握目前Active Directory的概况。如:那些用户从那些工作站与什么时候登入? 某一指定用户从那些工作站什么时候登入? 某一指定的用户在某个天数范围内从某一指定的workstation 登入的次数? 查看那些用户登出(logoff) ?那些用户登入成功、查看某一用户成功登入的报表及登出的报表、查看是否有被攻击、查看用户登入次数排行榜、显示按用户名Top 100的记录、移除按用户名重复的资讯、根据用户最近多少天内登入成功的次数与帐号异动情形(图三)。

Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

图三Splunk统计曾经发生的User Account删除事件发生的次数跟时间点

透过这个画面,管理人员可以清楚的掌握帐号删除发生的时间点跟次数,对于帐号的管理有很大的帮助。 我们可以将搜寻帐号删除的语法设成Saved search,排程执行对这项事件进行监控,当事件发生的时候可以透过透过RSS 或电子邮件通知管理人员。

使用Splunk for AD,管理人员对AD 的健康状况将一目了然,并可节省找原厂或SI 厂商的健诊费用。

下载安装Splunk与Exchange fields and inputs

Splunk试用下载网址

SplunkBase Applications 网页

  • STEP 1:

    下载与安装Splunk 是运用Splunk 进行IT 管理的第一步,Splunk 支援的作业系统相当的多,目前在Windows 平台上分成32 位元与64 位元两种。 32位元支援Windows 2000, XP, 2003, Vista, 2008,64位元支援Windows XP, 2003, Vista, 2008。

    Splunk 是一套容易安装的软体,大多数的时候可以毫不犹豫地按下一步就好。 请记得在Windows平台上安装Splunk,如果要获得事件历程纪录、Windows Registry、硬体资源等资讯,必须要在选择资料来源的安装步骤勾选相关的选项。

    Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

  • STEP 2:

    SplunkBase提供了许多可以让Splunk在IT管理上可以发挥更多功能的应用工具,包括了作业面、安全面、稽核面以及商业智慧方面等四类共一百五十多种应用。 我们可以利用Exchange fields and inputs这个项目快速地让Splunk应用在Exchange 2003 Server Log的分析上。

    进入SplunkBase Applications的网页面后,先点选左侧页面的Technologies,会看到Mail这个选项,点击Mail后就可以看到Mail Transfer Agents选项,点击Mail Transfer Agents选项后就出现MS Exchange选项,点击他后在右侧的页面就会看到Exchange fields and inputs这个项目。 点击进去我们可以看到这是一个免费的Applications,基本上这是一个可以将Exchange event tracking log设定成Splunk的资料来源,并将一笔笔的资料区隔它的栏位,让管理人员可以透过Splunk这样一个工具检核这些Exchange tracking log 从中发现有助管理电子邮件系统的资讯。

    Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

  • STEP 3:

    下载完Exchange fields and inputs 之后可以看到一个档案叫做exchange.tar.gz,如果在安装Splunk 的时候没有变更预设的安装路径,就可以将这个档案解压缩之后把其中的exchange 资料夹复制到C :/Program Files/Splunk/etc/apps路径底下,如果在安装Splunk的时候有变更安装路径则请将压缩后的exchange资料夹复制到Splunk安装路径/etc/apps路径底下。 复制过去之后请在该exchange底下建立一个local资料夹,将exchange资料夹中的addon.conf、inputs.conf、props.conf、transforms.conf等档案复制到local资料夹底下。

  • STEP 4:

    要分析Exchange event tracking log之前必须取得Exchange event tracking log,在预设的情况下Exchange Server 2003的message tracking并未被启用,请按照下列步骤打开message tracking:

    • 打开Exchange 系统管理员。
    • 打开伺服器资料夹。
    • Right-Click 要追踪的伺服器。
    • 点击内容。

      Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

    • 在一般页签勾选启用邮件追踪。
    • 如果想要追踪电子邮件的主旨请勾选启用并显示主旨记录。

      Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

  • STEP 5:

    在Exchange Server 2003上追踪一段时间message tracking log后我们可以将纪录下来的日志档放在一个资料夹底下例如Exchange Log。

    Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

  • STEP 6:

    为了让Exchange fields and inputs 可以在安装的Splunk Server 上可以顺利运作,要修正Splunk 的conf 档以符合实际环境的状况。

    • 修改input.conf 档案

      修改[tail:///exchangepath/server_name.log]成为[monitor:C:/ExchangeLog] ,让Splunk可以将置放message tracking log的资料夹作为资料来源。

      Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

    • 重新启动Splunk

      点选Splunk 页面右上角的Admin 页签。

      Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

      点选进去后可以看到左边的Control Server再点击右边的RestartNow,重新启动Splunk Server。

      Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

  • STEP 7:

    现在我们就可以透过Splunk来对Exchange message tracking log来对Exchange Server 2003 message tracking log进行分析,来取得有用的资讯。 进入Splunk 网页之后,点选exchange 2003-eventtracker。

    Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

  • STEP 8:

    找出经常使用电子邮件的使用者:

    点选之后我们会看到一笔一笔的纪录出现

    Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

    接者我们在Splunk search bar 中输入搜寻的语法如下:

    sourcetype="exchange2003-eventtracker" | chart

    然后再左侧点选Sender栏位

    Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

    Splunker 会分析上面看到的一笔笔庞杂的资料,帮我们找出前一百大的寄件者。

    Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

    Splunk统计前一百大的寄件者

  • STEP 9:

    找出寄件者过去1 小时内的发信流量大小:

    点击右侧的面板中的bytes_out栏位,将Splunk search bar底下的时间范围栏位调至Last 3 hours。

    Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

    在Series 下方的选项中调整show 栏位为sum,vs 栏位选择time,splitby 栏位要选择sender。

    Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

    Splunk统计使用者在过去三小时内发出信件的流量

    为了找出有没有使用者的发信的流量暴增,可以将这个搜寻条件储存起来定期执行。 我们点选Splunk search bar右侧的下拉按钮,点击Save search…我们可以会看到Save search设定页面。

    Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

    就入Save search页面后,在Name栏位为这个Save search命名,并且勾选要将这个Save search的图表镶嵌在某一个dashboard上。 然后点选Schedule and Alert页签,可以为这个Save search排程执行。 并且在符合所设定的条件的时候发出Alert 透过RSS,电子邮件通知管理人员,甚至驱动外部的程式自动进行管理动作。

    Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

Splunk 在Active Directory 方面的应用

Windows event log中记录着Active Directory的一些重要资讯,当Splunk安装在伺服器上后,这些事件记录预设会被当作Splunk的资料来源,所以可以省略设定资料来源的动作。 进入Splunk网页之后,点选WinEventLog:System。 过去要透过事件检视器,一笔一笔的去查看这些资料,很难加以统计更不容易产出报表。 现在就做几个练习看看如何利用Splunk 来对其中的资讯进行搜寻、统计乃至产出图表。

  • STEP 1:

    找出删除User Account 的事件:

    在Splunk search bar 键入下列搜寻条件:

    sourcetype="WinEventLog:Security" EventCode=630

    Splunk就会搜寻出删除User Account的纪录。 下一步可以将这些记录统计,找出发生的次数、时间点,提供给管理者作为参考的依据。

  • STEP 2:

    找出统计User Account 的事件:

    在Splunk search bar 键入下列搜寻条件:

    sourcetype="WinEventLog:Security" EventCode=630 | chart,按下搜寻按钮后在左侧的面板上点选Eventcode,然后在页面的右侧在Series下方的选项中调整show栏位为count。

    Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录 Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

    Splunk 统计曾经发生的User Account 删除事件发生的次数跟时间点

    透过这个画面,管理人员可以清楚的掌握帐号删除发生的时间点跟次数。 对于帐号的管理有相当的帮助。 同样的我们可以将搜寻帐号删除的语法设成Saved search,排程执行对这项事件进行监控,当事件发生的时候可以透过RSS,电子邮件通知管理人员。

  • STEP 3:

    透过Splunk 迅速了解系统概况:

    在Splunk search bar 键入下列搜寻条件:

    sourcetype="WinEventLog:Security" | chart,按下搜寻按钮后在左侧的面板上点选Eventcode,Splunk可以快速的找出系统发生的事件代码,并加以分类统计,让管理人员可以迅速地掌握系统概况,针对有疑虑的事件,可以尽早设想因应之道。

    Splunk <wbr>for <wbr>邮件系统(Exchange <wbr>Mail <wbr>Server) <wbr>and <wbr>目录

    Splunk统计系统的Event Code

结语

电子邮件系统管理的议题有各种面向,一般来说比较关心的是信件的流量,实际上当使用并且活用了Splunk之后我们可以知道更多的有用资讯,例如当统计出前一百大发信的对象之后,可以知道企业主要资讯流通的对象是哪些公司或个人,而这些对象可能是企业忠实的客户,而这背后就到表着一份有效的行销名单甚至是一项巨大的商机。 又或者可以利用Splunk 找出特定使用者发信的主旨,稽查是否有不适当的电子邮件透过公司的邮件伺服器被发送出去。

有许多因素足以影响一套电子邮件系统的运作,所以管理人员在查找出问题的症结往往不只是要查看Exchange Sever 上的log 而已,而是要查看各种网路设备以及伺服器的log。 Splunk是管理人员在面对这些千头万绪的线索的时候,可以快速的搜寻出有用的资讯,加以分析乃至交叉比对的一项利器。 Splunk的Save search也让IT管理上的经验传承可以更容易做到。 一位新进的IT管理人员在面对问题发生时,可以利用前被留下的Save search节省下许多摸索的时间。 一位充满经验与知识的资深管理IT管理人员,可以利用Splunk将自己的经验传承提升自己和组织的工作效率也增加自己的生活品质。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值