Splunk for 郵件系統(Exchange Mail Server) and 目錄

Splunk for 郵件系統(Exchange Mail Server) and 目錄服務(AD)管理與應用

作者：徐逸平

對企業來說，回應客戶問題的時間長短反映出一個企業的競争力。 對IT人員來說，回應使用者問題的時間長短與提升資訊系統效率的能力，反映出一個IT人員對企業的貢獻度。 當IT人員管理的系統規模越來越大、數量越來越多、系統關聯性越來越高，IT人員要找出問題的症結，所需的不隻是個人的知識與經驗更需要一種高效率的工具。 現今的IT管理人員每天面對各式各樣的資訊裝置與各種軟體，其運作的紀錄散落在各處，猶如一座座彼此不相關聯的孤島，但其脈絡實際上卻潛藏其下。 過去IT 人員必須一處處前往檢視在繁雜的紀錄中尋找有用的資訊，試着找出問題解決方案或突破效率瓶頸方法的蛛絲馬迹。 現在透過Splunk，IT人員可以操作着簡易且具有親和力的Web介面，把一座座資訊孤島聯結成可以交叉查詢的網絡，将IT管理上有價值的資訊搜集起來并且能以圖表的形式展現出來。 Google幫助網際網路的使用者輕松地找出所需要的資訊，Splunk不隻幫助IT管理人員将需要的資訊找出來，更重要的是可以透過統計圖表讓資訊更容易被消化，借着警示與觸發提升資訊的價值。

Splunk For 目錄服務(Active Directory) 與郵件系統(Exchange)的特色

在現今的商業環境中，電子郵件已經成為企業對内對外傳遞訊息不可或缺的一項工具，即便是一封簡短的索取報價的電子郵件，背後都可能代表着一項巨大的商機，是以掌握所屬企業的電子郵件系統的運作概況，進而維護電子郵件系統的穩定也成為IT 人員必須面對的一項課題。

Exchange Server 是微軟提供的電子郵件系統軟體，廣泛地被國内外的企業所采用。 過去要分析Exchange日志檔并不是一件容易的事，尤其是企業使用電子郵件發送訊息相當頻繁，紀錄檔的資料量也一定相當龐大，若是管理人員要一筆一筆地去檢視資料必定曠日廢時，也是一項沉重的負荷，更遑論要從中加以分析并掘取有價值的資訊。 現在藉由Splunk 以及SplunkBase 所提供的工具，依客戶需求直接規畫使用，可以讓管理人員更快速地集資訊并且加以統計分析。 藉由Splunk for Exchange的應用,如收件者或寄件者使用排行榜(圖一)，以追蹤電子郵件使用者異常行為分析，或透過電子郵件畫流量分析(圖二)，以找出有沒有使用者的發信的流量暴增或有人入侵大量發送電子報等異常問題，并可産生客戶所需要的報表。 一旦Exchange發生問題，使用Splunk for Exchange，管理人員将可以快速找出問題的根源，而不再憑經驗找問題，而延誤商機，以緻造成公司嚴重的損失。

圖一某一段時間内收件者或寄件者的使用排行榜

圖二Splunk 的郵件流量統計與平均流量

目錄服務(Active Directory)是Windows平台上的重要元件，許多微軟的軟體都會運用到這項元件，将許多重要的資訊記錄在Active Directory上，是以管理人員要更深入一層地了解目前電子郵件系統的運作狀況或者是維護其他與Active Directory有關的系統時，必定要了解Active Directory的狀況。 透過Splunk管理人員可以了解Active Directory中許多重要的資訊，藉由Ｓplunk for AD，可依客戶對于IT裝置的使用狀況與負載量方面需求，直接規畫使用，以提供健康診斷服務及産生客戶所要的報表，快速地掌握目前Active Directory的概況。如:那些使用者從那些工作站與什麼時候登入? 某一指定使用者從那些工作站什麼時候登入？ 某一指定的使用者在某個天數範圍内從某一指定的workstation 登入的次數？ 檢視那些使用者登出(logoff) ?那些使用者登入成功、檢視某一使用者成功登入的報表及登出的報表、檢視是否有被攻擊、檢視使用者登入次數排行榜、顯示按使用者名Top 100的記錄、移除按使用者名重複的資訊、根據使用者最近多少天内登入成功的次數與帳号異動情形（圖三）。

圖三Splunk統計曾經發生的User Account删除事件發生的次數跟時間點

透過這個畫面，管理人員可以清楚的掌握帳号删除發生的時間點跟次數，對于帳号的管理有很大的幫助。 我們可以将搜尋帳号删除的文法設成Saved search，排程執行對這項事件進行監控，當事件發生的時候可以透過透過RSS 或電子郵件通知管理人員。

使用Ｓplunk for AD，管理人員對AD 的健康狀況将一目了然，并可節省找原廠或SI 廠商的健診費用。

下載下傳安裝Splunk與Exchange fields and inputs

Splunk試用下載下傳網址

SplunkBase Applications 網頁

STEP 1：

下載下傳與安裝Splunk 是運用Splunk 進行IT 管理的第一步，Splunk 支援的作業系統相當的多，目前在Windows 平台上分成32 位元與64 位元兩種。 32位元支援Windows 2000, XP, 2003, Vista, 2008，64位元支援Windows XP, 2003, Vista, 2008。

Splunk 是一套容易安裝的軟體，大多數的時候可以毫不猶豫地按下一步就好。 請記得在Windows平台上安裝Splunk，如果要獲得事件曆程紀錄、Windows Registry、硬體資源等資訊，必須要在選擇資料來源的安裝步驟勾選相關的選項。

STEP 2：

SplunkBase提供了許多可以讓Splunk在IT管理上可以發揮更多功能的應用工具，包括了作業面、安全面、稽核面以及商業智慧方面等四類共一百五十多種應用。 我們可以利用Exchange fields and inputs這個項目快速地讓Splunk應用在Exchange 2003 Server Log的分析上。

進入SplunkBase Applications的網頁面後，先點選左側頁面的Technologies，會看到Mail這個選項，點選Mail後就可以看到Mail Transfer Agents選項，點選Mail Transfer Agents選項後就出現MS Exchange選項，點選他後在右側的頁面就會看到Exchange fields and inputs這個項目。 點選進去我們可以看到這是一個免費的Applications,基本上這是一個可以将Exchange event tracking log設定成Splunk的資料來源，并将一筆筆的資料區隔它的欄位，讓管理人員可以透過Splunk這樣一個工具檢核這些Exchange tracking log 從中發現有助管理電子郵件系統的資訊。

STEP 3：

下載下傳完Exchange fields and inputs 之後可以看到一個檔案叫做exchange.tar.gz，如果在安裝Splunk 的時候沒有變更預設的安裝路徑，就可以将這個檔案解壓縮之後把其中的exchange 資料夾複制到C :\Program Files\Splunk\etc\apps路徑底下，如果在安裝Splunk的時候有變更安裝路徑則請将壓縮後的exchange資料夾複制到Splunk安裝路徑\etc\apps路徑底下。 複制過去之後請在該exchange底下建立一個local資料夾，将exchange資料夾中的addon.conf、inputs.conf、props.conf、transforms.conf等檔案複制到local資料夾底下。

STEP 4：

要分析Exchange event tracking log之前必須取得Exchange event tracking log，在預設的情況下Exchange Server 2003的message tracking并未被啟用，請按照下列步驟打開message tracking：

打開Exchange 系統管理者。 打開伺服器資料夾。 Right-Click 要追蹤的伺服器。

點選内容。

在一般頁簽勾選啟用郵件追蹤。

如果想要追蹤電子郵件的主旨請勾選啟用并顯示主旨記錄。

STEP 5：

在Exchange Server 2003上追蹤一段時間message tracking log後我們可以将紀錄下來的日志檔放在一個資料夾底下例如Exchange Log。

STEP 6：

為了讓Exchange fields and inputs 可以在安裝的Splunk Server 上可以順利運作，要修正Splunk 的conf 檔以符合實際環境的狀況。

修改input.conf 檔案

修改[tail://\exchangepath\server_name.log]成為[monitor:C:\ExchangeLog] ，讓Splunk可以将置放message tracking log的資料夾作為資料來源。

重新啟動Splunk

點選Splunk 頁面右上角的Admin 頁簽。

點選進去後可以看到左邊的Control Server再點選右邊的RestartNow，重新啟動Splunk Server。

STEP 7：

現在我們就可以透過Splunk來對Exchange message tracking log來對Exchange Server 2003 message tracking log進行分析，來取得有用的資訊。 進入Splunk 網頁之後，點選exchange 2003-eventtracker。

STEP 8：

找出經常使用電子郵件的使用者：

點選之後我們會看到一筆一筆的紀錄出現

接者我們在Splunk search bar 中輸入搜尋的文法如下：

sourcetype="exchange2003-eventtracker" | chart

然後再左側點選Sender欄位

Splunker 會分析上面看到的一筆筆龐雜的資料，幫我們找出前一百大的寄件者。

Splunk統計前一百大的寄件者

STEP 9：

找出寄件者過去1 小時内的發信流量大小：

點選右側的面闆中的bytes_out欄位，将Splunk search bar底下的時間範圍欄位調至Last 3 hours。

在Series 下方的選項中調整show 欄位為sum，vs 欄位選擇time，splitby 欄位要選擇sender。

Splunk統計使用者在過去三小時内發出信件的流量

為了找出有沒有使用者的發信的流量暴增，可以将這個搜尋條件儲存起來定期執行。 我們點選Splunk search bar右側的下拉按鈕，點選Save search…我們可以會看到Save search設定頁面。

就入Save search頁面後，在Name欄位為這個Save search命名，并且勾選要将這個Save search的圖表鑲嵌在某一個dashboard上。 然後點選Schedule and Alert頁簽，可以為這個Save search排程執行。 并且在符合所設定的條件的時候發出Alert 透過RSS，電子郵件通知管理人員，甚至驅動外部的程式自動進行管理動作。

Splunk 在Active Directory 方面的應用

Windows event log中記錄着Active Directory的一些重要資訊，當Splunk安裝在伺服器上後，這些事件記錄預設會被當作Splunk的資料來源，是以可以省略設定資料來源的動作。 進入Splunk網頁之後，點選WinEventLog:System。 過去要透過事件檢視器，一筆一筆的去檢視這些資料，很難加以統計更不容易産出報表。 現在就做幾個練習看看如何利用Splunk 來對其中的資訊進行搜尋、統計乃至産出圖表。

找出删除User Account 的事件：

在Splunk search bar 鍵入下列搜尋條件：

sourcetype="WinEventLog:Security" EventCode=630

Splunk就會搜尋出删除User Account的紀錄。 下一步可以将這些記錄統計，找出發生的次數、時間點，提供給管理者作為參考的依據。

找出統計User Account 的事件：

sourcetype="WinEventLog:Security" EventCode=630 | chart，按下搜尋按鈕後在左側的面闆上點選Eventcode，然後在頁面的右側在Series下方的選項中調整show欄位為count。

Splunk 統計曾經發生的User Account 删除事件發生的次數跟時間點

透過這個畫面，管理人員可以清楚的掌握帳号删除發生的時間點跟次數。 對于帳号的管理有相當的幫助。 同樣的我們可以将搜尋帳号删除的文法設成Saved search，排程執行對這項事件進行監控，當事件發生的時候可以透過RSS，電子郵件通知管理人員。

透過Splunk 迅速了解系統概況：

sourcetype="WinEventLog:Security" | chart，按下搜尋按鈕後在左側的面闆上點選Eventcode，Splunk可以快速的找出系統發生的事件代碼，并加以分類統計，讓管理人員可以迅速地掌握系統概況，針對有疑慮的事件，可以盡早設想因應之道。

Splunk統計系統的Event Code

結語

電子郵件系統管理的議題有各種面向，一般來說比較關心的是信件的流量，實際上當使用并且活用了Splunk之後我們可以知道更多的有用資訊，例如當統計出前一百大發信的對象之後，可以知道企業主要資訊流通的對象是哪些公司或個人，而這些對象可能是企業忠實的客戶，而這背後就到表着一份有效的行銷名單甚至是一項巨大的商機。 又或者可以利用Splunk 找出特定使用者發信的主旨，稽查是否有不适當的電子郵件透過公司的郵件伺服器被發送出去。

有許多因素足以影響一套電子郵件系統的運作，是以管理人員在查找出問題的症結往往不隻是要檢視Exchange Sever 上的log 而已，而是要檢視各種網路裝置以及伺服器的log。 Splunk是管理人員在面對這些千頭萬緒的線索的時候，可以快速的搜尋出有用的資訊，加以分析乃至交叉比對的一項利器。 Splunk的Save search也讓IT管理上的經驗傳承可以更容易做到。 一位新進的IT管理人員在面對問題發生時，可以利用前被留下的Save search節省下許多摸索的時間。 一位充滿經驗與知識的資深管理IT管理人員，可以利用Splunk将自己的經驗傳承提升自己群組織的工作效率也增加自己的生活品質。