En base a los comentarios, que ha recibido Zimbra, se ha generado la guía Zimbra Elastic Stack para que funcione con Ubuntu 22 y ELK 8.x. La guía también se ha ampliado con pasos sobre cómo enviar información de registro desde audit.log y registros de error y acceso de nginx a Elastic Stack.

Con Elastic Stack puedes:

• Busque y analice fácilmente los registros históricos
• Visualice los eventos de registro para recopilar información
• Almacenar registros para investigación forense en caso de piratería
• Supervise el tiempo de actividad y los certificados

Tanto Zimbra como Elastic Stack tienen muchos componentes. El siguiente diagrama le muestra una descripción general de cómo los componentes del software funcionan juntos para hacer visualizaciones a partir de archivos de registro sin procesar. En la forma más simple, puede instalar Zimbra en una configuración de servidor único y agregar otro servidor para todos los componentes de Elastic Stack. Si planea escalar verticalmente, puede dividir varios de los componentes de software en más máquinas virtuales.

Un tablero básico de Kibana para un servidor Zimbra se vería así:

Sin Elastic Stack, su servidor solo conserva los archivos de registro de eventos más recientes en su servidor Zimbra. Puede configurar el registro de su sistema para retrasar la compresión y la depuración de los archivos de registro, pero los archivos de registro tienden a ser muy grandes y hay varios archivos de registro para varios componentes del sistema. Encontrar un evento específico en todos estos registros puede llevar mucho tiempo.

Los registros analizados por Elastic Stack se pueden buscar, por lo que no tiene que hacer trucos de línea de comandos para encontrar eventos rápidamente... y no tiene que perder el tiempo esperando los resultados de la búsqueda.

Elastic Stack también le permite crear visualizaciones con relativa facilidad, de modo que puede obtener información sobre los parámetros vitales de su sistema para:

• Tráfico de correo electrónico Postfix
• Filtrado de correo no deseado
• Uso y carga del disco
• Uso de CPU y RAM
• Eventos relacionados con la seguridad, como inicios de sesión fallidos en la interfaz de usuario web, intentos fallidos de inicio de sesión SSH, intentos de fuerza bruta IMAP y SMTP, etc.
• Más

Esto significa que puede ser proactivo al tratar los problemas de carga del sistema y las amenazas a la seguridad.

El uso de RSyslog para recopilar los registros de su servidor Zimbra tiene una serie de beneficios en comparación con el uso de Elastic Stack:

• No es necesario instalar el agente Elastic Stack en sus servidores Zimbra
• Evite los repositorios de software de terceros en sus servidores Zimbra
• El registro centralizado de RSyslog protege sus registros en caso de que se vean comprometidos por piratería
• El registro centralizado de RSyslog es un estándar de la industria para proteger los registros de los investigadores forenses
• Mantenibilidad: Elastic Stack es un software desarrollado por DevOps. Esto no es malo, pero las cosas cambian mucho con el tiempo. Los mecanismos (Logstash Forwarder/Filebeat) para recopilar registros pueden cambiar significativamente. Por ejemplo, Logstash Forwarder ahora está obsoleto y las opciones de configuración para Filebeat cambian con frecuencia, lo que dificulta su mantenimiento si ejecuta un clúster de Zimbra.

Para obtener más información, pueden acceder a una guía completa aquí: https://github.com/Zimbra/elastic-stack

Y una versión en PDF de la guía aquí:  https://github.com/Zimbra/elastic-stack/releases

La mayoría de los archivos de configuración y scripts de la guía están disponibles en el repositorio de Github. Si no puede copiar y pegar directamente desde la guía, puede recuperar los archivos de configuración y los scripts descargándolos a través de Github.