How to monitor Text and CSV log files in SCOM

Имеется задача. Выявить, состоит ли белый ип адрес почтового сервера в DNS BL?

DNS Block List - DNS blacklist или DNS blocklist — списки хостов, хранимые с использованием системы архитектуры DNS. Обычно используются для борьбы со спамом. Почтовый сервер обращается к DNSBL, и проверяет в нём наличие IP-адреса клиента, с которого он принимает сообщение. При положительном ответе считается, что происходит попытка приёма спам-сообщения. Серверу отправителя сообщается ошибка 5xx (неустранимая ошибка) и сообщение не принимается. Почтовый сервер отправителя создаёт «отказную квитанцию» (NDR) отправителю о недоставке почты.

Попробуем с помощью System Center Operations Manager заполучить эту  «отказную квитанцию» и вывести на консоль оператора в виде алерта.

Нам потребуются:

• Почтовый сервер
• SMTPDIAG – утилита диагностики SMTP соединений http://www.microsoft.com/en-us/download/details.aspx?id=11393
• SCOM
• Простейший скрипт

SMTPDIAG консольная утилита с параметрами, которая позволяет получать коды ответы SMTP сервера по принципу как если бы мы подключались через telnet <host> 25, но с некоторыми возможностями автоматизации. Вывод этой утилиты мы запишем в текстовый файл. С файлом будет как раз работать SCOM, обрабатывать его новые строки и вынимать интересующую нас информацию. 

1.  Создание лог-файла
2. Создание правила в SCOM
3. Вывод Алерта

1. Создание лог файла

Пишем cmd файл такого вида.

echo -==============================================- >> c:\smtpdiag\testmail.log

date /T  >> c:\smtpdiag\testmail.log

Time /T >> c:\smtpdiag\testmail.log

smtpdiag mailtest@sender.ru input@receiver.ru /v  >> c:\smtpdiag\testmail.log

date /T  >> c:\smtpdiag\testmail.log

Time /T >> c:\smtpdiag\testmail.log

echo -==============================================- >> c:\smtpdiag\testmail.log c:\smtpdiag\testmail.log

Удаленный домен receiver.ru должен быть настроен на обработку почты с использованием DNS BL. Иначе необходимо выбрать другой домен - достаточно посмотреть логи собственного почтового сервера, если уже случилась блокировка писем с вашего сервера по DNS BL.

Делаем задание шедулера. Тестирование возможности отправки почты на удаленный сервер через каждые 30 минут.  

Что внутри файла? Нам нужны строки вида

 550 5.7.1 Rejected: <ip address> listed at zen.spamhaus.org

Подготовительная работа сделана.

2.  Создание правила в SCOM
Давайте теперь научим Operations Manager  читать этот лог файл.

OM Console – Authoring – Rules – Create new Rule

Нас интересует поиск сообщений со словами 'listed at' Указываем значение поля Value

3. Вывод Алерта

Таким образом с помощью Orerations Manager можно отображать алерты, не системного характера. Поскольку проблема блокировки белого ип ареса, имеет прямое отношение к архитектуре сети предприятия и является крайне редко встречающейся в реальной жизни при грамотной настройке почтового сервиса. Однако все же создание такого монитора для администраторов почтового сервера можно включать как подзадачу в проект мониторинга ИС для заказчиков.