Heute gehen wir auf ein komplexeres Thema ein. Komplex, weil unser „Mail Robot“ Sensor viele verschiedene Anwendungsgebiete abdeckt. Die Konfiguration im jeweiligen Einzelfall ist zwar höher wie ein durchschnittlicher „Server-Eye Sensor“, aber immer noch sehr einfach und verständlich. Nach diesem Beitrag können Sie also ihr Monitoring auch um dieses Szenario erweitern.

Was genau ist denn gemeint mit „Erweiterte Mailanalyse„?

Darunter verstehe ich, dass eingehende E-Mails nach bestimmten Kriterien bewertet werden. Dazu gehören Suchwörter in Betreff, Text oder Anhang. Dazu gehört der Absender. Es gehört unter Umständen aber auch die Anzahl an E-Mails dazu.

Was sind die Anwendungsgebiete für diese Art der Überwachung?

Hier kann ich natürlich nicht für alle Fälle sprechen. Ich kann Ihnen aber typische Fälle aufzeigen, die sinnvoll sind.

  • Täglich werden 5 Sicherungen durchgeführt. Eine E-Mail über Erfolg/Fehler wird von diesem Backupprodukt gesendet.
  • Eine Software verschickt nur über E-Mail wichtige Alarmen (Fax-Applikation, uvm.)
  • Spezielle E-Mails müssen täglich in entsprechender Anzahl in einem Postfach vorliegen

Es handelt sich also um Anwendungsfälle, wo Server-Eye durch lokale Prüfungen nichts ausrichten kann. Zum Beispiel also das Backup-Produkt , welches außer dem E-Mail Versand keine Schnittstellen/Logdateien bietet.

Konfiguration

Zuerst müssen Sie sich entscheiden. Nehmen Sie den „Mail Robot“ oder den „Mail Robot für Exchange“ Sensor. Einen Unterschied gibt es nur in der Konfiguration bezogen auf den MailServer. Unterstützt werden Zugriffe via POP3, IMAP und direkt über die Exchange API.

Um das ganze besser zu strukturieren, unterteilen wir die Konfiguration in 3 Bereiche:

Zugangsdaten

konfig_1

Geben Sie die Daten im Sensor ein, die für den Zugriff auf das gewünschte Postfach notwendig sind. Im Exchange Server, wird hier nur die E-Mail Adresse benötigt. Bei IMAP/POP kommt noch der entsprechende Email-Server hinzu.

Filtermöglichkeiten

konfig_filter

Es ist wichtig zu wissen, nach was genau Sie filtern möchten. Gibt es negative oder positive Schlüsselwörter wie „Erfolgreich“ oder „Failed„, die interessant sind? Machen Sie sich Ihren Anwendungsfall klar und definieren Sie danach die entsprechenden Punkte. Es muss jedoch mindestens 1 negatives oder 1 positives Schlüsselwort definiert werden.

Gibt es eine Sammeladresse, wo mehrere E-Mails von verschiedenen Kunden im selben Postfach ankommen, können Sie auch nach einer E-Mail Adresse filtern.

Weitere Einstellungen

konfig_pruefung

Nun können Sie noch verschiedene Punkte definieren um die Bewertung durch den Sensor zu komplettieren. Auch hier ist es wichtig, sich den Anwendungsfall nochmal zu verdeutlichen. Schickt zum Beispiel das Backup-Produkt immer um 8:00 eine Zusammenfassung, täglich, so sollten Sie die Prüfzeit auf 8:30 setzen und den Zeitraum auf 1 Tag. Handelt es sich nur um eine E-Mail , so tragen Sie bei „minimale Anzahl Mails“ eine 1 ein. Wissen Sie die Anzahl nicht, können Sie hier aber auch eine 0 vergeben. Der Sensor erstellt also immer zur angegebenen Zeit eine Zusammenfassung, die entweder positiv oder negativ ausfällt.

Gibt es einen sinnvollen Anwendungsfall, können Sie auch alle E-Mails die älter als x Tage sind automatisch bereinigen. Bitte wenden Sie diese Einstellung auf einem Produktivpostfach nur mit äußerster Vorsicht an!!

Ergebnis und weitere Beispiele

Nun haben wir alles entsprechend konfiguriert und können die Früchte unserer Arbeit ernten.

Hier habe ich zum Test eine einfache Überwachung auf „SPAM“ eingebaut.

mailrobot

Wie man sieht wurden zwar E-Mails gefunden, aber keine mit dem negativen Schlüsselwort SPAM. Das Feld „Letztes Ergebnis vom“ enthält den eigentlichen Prüfzeitpunkt. Alle Prüfungen danach zeigen diesen Stand dann weiterhin an, bis eine neue Prüfung basierend auf dem vergebenen Zeitraum durchgeführt wird.

Kommen wir nun zu einem tatsächlichen Beispiel aus der Praxis. Wir lassen uns die Konfigurationen sämtlicher Endian Firewalls per E-Mail zustellen und archivieren diese. Außerdem wollen wir die Logs der Endian auswerten und über kritische Alarme Bescheid wissen.

mailrobot-negative-schluesselwoerter

(Screenshot zeigt den Anwendungsfall 2, Alarme der Endian)

Da es hier unmöglich ist eine positive Suchwortliste zu definieren, suchen wir nur nach bestimmten Schlüsselwörtern. In dem Fall wurden einige volle Platten gemeldet. Auch wenn aus Übersichtsgründen natürlich nicht der komplette E-Mail Text ersichtlich ist, ist dieser ausreichend um das Problem zu erkennen.

Abschluss

Ich hoffe ich konnte Ihnen aufzeigen, was für Möglichkeiten diese Art der Analyse bietet. Anspruch von Server-Eye ist es natürlich diese Fälle zu vermeiden. Wir wollen für Ihre Anwendungsgebiete einfache Sensoren bieten, die einen Echzeitstatus darstellen. Manchmal gibt es aber Hintergründe, die dies nicht ermöglichen. Sei es fehlende APIs oder sonstige fehlende Ansatzpunkte für ein Monitoring. Dann ist es gut zu wissen, dass Sie trotzdem eine Möglichkeit haben diese Fälle in ein zentrales Monitoring zu integrieren.

 

 

Bewerten Sie diesen Beitrag