tweeks200 Asked: 2016-07-08 10:52:01 +0800 CST2016-07-08 10:52:01 +0800 CST 2016-07-08 10:52:01 +0800 CST 关于唯一电子邮件地址的 Graylog 警报? 772 我们试图弄清楚是否有一种方法可以创建一个流/警报,以检测电子邮件地址何时在日志中超过 X 次。据我们所知,我只能计算与流匹配的消息总数。 例如,如果在过去一分钟内该值相同超过 10 次,我们希望在名为“mailaddress”的字段上发出警报。有人对如何做到这一点有想法吗? linux logging graylog 1 个回答 Voted Best Answer BillThor 2016-07-08T15:09:55+08:002016-07-08T15:09:55+08:00 有许多工具可用于扫描日志。 fail2ban是其中之一。您需要设置一个表达式来匹配和配置适当的操作。这可能包括将用户暂时列入防火墙黑名单。 您可能会捕获配置不佳的服务器,这些服务器的初始重试时间以秒而不是分钟或小时为单位进行配置。垃圾邮件机器人可能会经常更改其发送地址,因此您可能会错过它们。 我已经看到许多批量邮件程序在每个请求上使用不同的 IP 快速重试。相应的域,往往在前两个或三个级别上是一致的。 我会通过修复邮件列表数据来修复发送的重复项。您的邮件服务器将重试临时拒绝的重复项。使用合理的初始重试时间(例如 1 小时)并监控队列中已在队列中等待一段时间的条目。电子邮件地址的域部分始终不区分大小写,而左侧站点几乎始终不区分大小写。 大多数邮件服务器会消除同一封邮件中的重复地址。但是,如果消息是个性化的,这将无济于事。 对于我检测到的每一个 RFC 违规,我的服务器都会推迟一个多小时的交付。这包括 rDNS、ELHO 名称匹配 DNS、SPF 等。还有其他原因会导致消息延迟。应记录延迟接受交货的原因。
有许多工具可用于扫描日志。
fail2ban是其中之一。您需要设置一个表达式来匹配和配置适当的操作。这可能包括将用户暂时列入防火墙黑名单。您可能会捕获配置不佳的服务器,这些服务器的初始重试时间以秒而不是分钟或小时为单位进行配置。垃圾邮件机器人可能会经常更改其发送地址,因此您可能会错过它们。
我已经看到许多批量邮件程序在每个请求上使用不同的 IP 快速重试。相应的域,往往在前两个或三个级别上是一致的。
我会通过修复邮件列表数据来修复发送的重复项。您的邮件服务器将重试临时拒绝的重复项。使用合理的初始重试时间(例如 1 小时)并监控队列中已在队列中等待一段时间的条目。电子邮件地址的域部分始终不区分大小写,而左侧站点几乎始终不区分大小写。
大多数邮件服务器会消除同一封邮件中的重复地址。但是,如果消息是个性化的,这将无济于事。
对于我检测到的每一个 RFC 违规,我的服务器都会推迟一个多小时的交付。这包括 rDNS、ELHO 名称匹配 DNS、SPF 等。还有其他原因会导致消息延迟。应记录延迟接受交货的原因。