Extrai a atividade do remetente dos logs de postfix para usuário de auditoria

Navegue suas respostas
2

Temos um usuário de email em nosso servidor postfix que estava usando o email da empresa para enviar informações comprometedoras a nossos concorrentes.

Fui solicitado a fazer um relatório das ações para esse usuário na última vez.

Existem ferramentas como pflogsumm e outras que podem extrair dados estatísticos, mas até agora não encontrei nada útil para obter todas as informações para um usuário porque os dados estão em várias linhas.

Gostaria de obter algo assim:

Para o email enviado 

11/11/11 00:00:00 [email protected] -> [email protected]
11/11/11 00:00:01 [email protected] -> [email protected]

Para o e-mail recebido 

10/10/11 00:00:00 [email protected] -> [email protected]
10/10/11 00:00:01 [email protected] -> [email protected]

Eu sei que posso fazer um script sozinho, mas combinar o ID do postfix para cada e-mail não é algo que pode ser feito com um grep simples, e tenho um monte de histórico de e-mail que tenho que verificar novamente distribuído entre diferentes arquivos e assim por diante.

O log da fonte é o formato padrão do postfix, por exemplo, este ... 

Sep 13 16:15:57 server postfix/qmgr[18142]: B35CB5ED3D: from=<[email protected],   size=10755, nrcpt=1 (queue active)
Sep 13 16:15:57 server postfix/smtpd[32099]: disconnect from localhost[127.0.0.1]
Sep 13 16:15:57 server postfix/smtp[32420]: 58C3E5EC9C: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.4, delays=0.01/0/0/1.4, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=32697-04, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as B35CB5ED3D)
Sep 13 16:15:57 server postfix/qmgr[18142]: 58C3E5EC9C: removed
Sep 13 16:15:57 server postfix/smtp[32379]: B35CB5ED3D: to=<[email protected]>, relay=mail.anothercompany.com[123.123.123.163]:25, delay=0.06, delays=0.03/0/0.01/0.02, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 77D0EB6C025)
Sep 13 16:15:57 server postfix/qmgr[18142]: B35CB5ED3D: removed
    
por Aseques 19.01.2012 / 11:50

4 respostas

4

Faça o download do script perl maillogconvert.pl e execute-o como: 

perl maillogconvert.pl standard < /var/log/mail.log > result.log

Uso: 

perl maillogconvert.pl [standard|vadmin] [year] < logfile > output

O primeiro parâmetro especifica o formato do arquivo de log de mensagens:   standard - logfile é o formato de log padrão postfix, sendmail, qmail ou mdaemon   vadmin - logfile é o formato de log do qmail com suporte multi-host vadmin

O segundo parâmetro especifica com qual ano o arquivo de log de registro de data e hora, se atual ano não é o correto (ou seja, 2002). Use sempre 4 dígitos. Se não especificado, ano atual é usado.

Se nenhuma saída for especificada, ela irá para o console (stdout).

    
por 26.07.2016 / 12:57
2

Experimente o "maillogconvert.pl" (script perl), que está incluído no AWStats ( link ).

    
por 16.04.2016 / 07:11
2

Eu criei um script em Perl: link

Você pode usar é como grep: 

pflogrep [email protected] /var/log/maillog

Ou você pode alimentar a saída para pflogsumm e obter estatísticas interessantes: 

pflogrep [email protected] /var/log/maillog | pflogsumm
    
por 15.04.2016 / 15:38
1

For the sent mail

11/11/11 00:00:00 [email protected] -> [email protected]
11/11/11 00:00:01 [email protected] -> [email protected]

# awk '/[email protected]/ { print $1, $2, $3, $7, $8 }' /var/log/maillog

For the received mail

10/10/11 00:00:00 [email protected] -> [email protected]
10/10/11 00:00:01 [email protected] -> [email protected]

# awk '/[email protected]/ { print $1, $2, $3, $7, $8 }' /var/log/maillog
    
por 08.08.2012 / 06:13

Tags

Quais são os riscos de confiar em um certificado auto-assinado em uma máquina de desenvolvimento? Riscos de certificado autoassinados