Настройка получения событий Postfix
Вы можете настроить получение событий системы Postfix в KUMA. Интеграция возможна только при отправке событий по syslog с использованием протокола TCP. Ресурсы, описанные в этой статье, доступны для KUMA 3.0 и более новых версий.
Настройка получения событий состоит из следующих этапов:
- Настройка Postfix для отправки событий.
- Настройка коллектора KUMA для получения событий Postfix.
- Проверка поступления событий Postfix в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий Postfix выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.
Система Postfix формирует события в двух форматах:
- Многострочные события, содержащие информацию о сообщениях (с уникальным идентификатором). События имеют следующий вид:
<syslog PRI> время хост имя_процесса: идентификатор: информация из базового события 1
<syslog PRI> время хост имя_процесса: идентификатор: информация из базового события 2
- Однострочные, содержащие информацию об ошибках (без идентификатора). События имеют следующий вид:
<syslog PRI> время хост имя_процесса: критичность: основная информация для парсинга
Для обработки событий системы Postfix используется набор ресурсов KUMA, который необходимо применить при создании коллектора:
- Нормализатор.
- Правило агрегации.
- Фильтры для точек назначения.
В процессе работы коллектора многострочные базовые события будут агрегированы на основе идентификатора событий, нормализованы, и одно событие будет направлено в хранилище и коррелятор.
Агрегированное событие примет следующий вид:
Служебная информация из правила агрегации: идентификатор: информация из базового события 1, информация из базового события 2, информация из базового события n
После агрегации полученное событие будет направлено в этот же коллектор, где будет выполняться нормализации агрегированного события.
Алгоритм обработки события системы Postfix
Для обработки события системы Postfix был реализован следующий алгоритм:
- Первичная нормализация.
На этом этапе выполняется первичная нормализация базовых событий, которые начинаются с символа "<", поступивших по syslog. События приводятся к формату, пригодному для последующей агрегации: из события выделяется первый символ и размещается в поле FlexString1, идентификатор размещается в поле ExternalID, имя хоста размещается в поле DeviceHostName. Базовая нормализация выполняется в основном нормализаторе.
- Проверка на агрегацию.
Выполняется проверка является ли событие агрегированным или нет. В результате проверки к неагрегированным событиям (первый символ не "{" и идентификатор не пустой) применяется правило агрегации, а затемагрегированные события направляются на повторную нормализацию.
- Применение правила агрегации.
На этом этапе к событиям применяется правило агрегации, базовые события "склеиваются" и принимают следующий вид:
Служебная информация из правила агрегации: идентификатор: информация из базового события 1, информация из базового события 2, информация из базового события n.
- После выполнения агрегации "склеенное" событие направляется обратно в этот же коллектор для выполнения нормализации агрегированного события.
Чтобы замкнуть цикл обработки события, следует указать тот же самый коллектор в качестве точки назначения. На схеме точка назначения названа "Loop", чтобы обозначить цикл обработки события. Вы можете назвать точку назначения произвольным именем.
- Нормализация агрегированного события.
Нормализация агрегированного события. начинающегося с символа "{", выполняется в экстранормализаторах Aggregated events, Aggregated events. Message KV parser, Aggregated events. Message regex 1, Aggregated events. Message regex 2.
- Отправка в хранилище и коррелятор.
Агрегированные и нормализованные события отправляются в хранилище и коррелятор.
На следующем рисунке представлена схема обработки событий от системы Postfix.
