Настроим логирование нашего оборудование.
Проверяем есть ли у нас
ls /etc/rsys*
/etc/rsyslog.conf /etc/rsyslog.conf.save /etc/rsyslog.conf.save.1 /etc/rsyslog.conf.save.2 /etc/rsyslog.conf.save.3
Если нет, то ставим
apt-get install rsyslog
После установки переходим в конфигурационный файл
Настроим прием удаленных логов на наш сервер.
Раскомментируем строчки:
— модуль для приема логов по udp.
–udp порт который будет слушать наш rsyslog.
В принципе этого достаточно для приема удаленных логов, то тогда все устройства будут писать логи в один файл, и с ним будет очень сложно работать. Для этого в создадим правило фильтрации по. То есть каждое устройство будет писать логи в свой отдельный файл. Для этого добавим в конец конфига
if $fromhost-ip contains ‘192.168.100.1’ then /var/log/mikrotik.log
Здесь говориться если у хоста ip то его логи записываем в файл Теперь нам осталось перезагрузить
Настройка Mikrotik для отправки логов на syslog сервер
Логи мы будем отправлять на серый адрес 192.168.100.254. Их отправка настраивается в »
/system logging
/add action=remote topics=info
/add action=remote topics=error
system logging action находим нужный нам пункт это и указываем ip куда нам записывать логи
/system logging action set 3 remote = 192.168.100.254 src-address = 192.168.100.1
Все на этом настройка и отправка логов с микротика на сервер rsyslog завершена, можем проверить создался и наполняется ли файл данными, если нет, то просто создаем файл и еще раз проверяем.
Посмотреть можно командой:
Так же для удобства можно поставить Zabbix.
У них очень удобный конструктор, посмотреть можно
Логи от разных устройств в локальной сети собираются в одном месте, на сервере логов, чтоб их было удобно анализировать. Одно из таких устройств – роутер микротик. Выполним настройку отправки логов на сервер и проверим результат.
Настройка выполняется на роутере RB750Gr3 c прошивкой v6.49 через WinBox.
Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Настройка отправки логов.
Выбираем строчку: remote
Remote Address: 192.168.5.15 — адрес сервера логов в локальной сети.
Удаленный порт 514 не изменяем, потому что, как правило, syslog протокол передается по этому порту в большинстве серверов логов.
ОК для сохранения настройки.
Через командную строку терминала:
Правило отправки логов.
Создаем новое правило нажав +
Topics: !debug – все темы кроме debug (! – означает отрицание).
Action: remote — настроенное ранее действие отправки логов на удаленный сервер.
debug не выбран потому что он создает много мешающих логов калькуляций. Можно исключить другие не используемые логи. Можно выбрать конкретные логи, которые хотим просматривать.
Если выбрать в одном правиле три темы, то лог будет отправлен только при выполнении всех трех событий одновременно.
Чтоб отправлялись логи с содержанием хотя бы одной темы, для каждой темы нужно создавать отдельное правило.
Чтоб не летело множество debug логов из какой-нибудь конкретной темы, например PPP хотим мониторить, нужно исключить debug из этой темы.
Проверка приема логов.
Для проверки необходим сервер логов, подключенный в локальную сеть. Одно из быстрых и бесплатных решений для Windows – Syslog Watcher.
Недостаток бесплатной версии Syslog Watcher – можно добавить только 3 источника логов.
Запускаем программу от имени администратора.
Далее переходим в настройки.
Создаем сетевой интерфейс UDP.
Это все, что нужно для работы. Дополнительно можно указать другое место хранения логов. Подробная инструкция есть на сайте этого ПО.
Нажимаем кнопку «Start Server».
Выполняем любые действия в роутере, создающие логи или ждем пару минут, если роутер работает в локальной сети.
Далее смотрим, что прилетело в сервер логов.
Нажимаем кнопку «View» и выбираем время.
В списке источников на вкладке «Originators» микротик уже появился автоматически. Можно добавлять источники в ручную.
Видим логи из роутера.
В разных ЛВС используются разные серверы логов и данный вариант был представлен только для демонстрации отправки логов с роутера MikroTik.
Небольшая предыстория. Организовал на маршрутизаторе Mikrotik RB3011UiAS контроллер CAPsMAN и после этого лог в Winbox стал представлять такое: 99,9% в логах стали записи о регистрации пользователей на wi-fi точках. Можно конечно подавить логи CAPsMAN, но если будут проблемы с ним, то будет сложно их решать без логов. Вообщем решил вывести логи CAPsMAN на удаленную машину, по данному примеру вы сможете дальше вывести остальные нужные вам логи. Как выше упоминал удаленный сервер с операционной системой FreeBSD. Перед тем как начать, убедитесь, что трафик UDP на 514 порт беспрепятственно ходит с Mikrotitik в сторону нашего сервера.
Настройку в Mikrotik будем делать в консоли (Winbox или SSH)
Создаем действие (action)
system logging action add bsd-syslog=yes name=CapsRemote remote=192.168.6.20 syslog-facility=local5 target=remote
Создаем правило (Rule)
system logging add topics=caps action=CapsRemote
Уберем вывод caps в общий лог Mikrotik
Узнаем ID топика info:
system logging print
Flags: X — disabled, I — invalid, * — default
# TOPICS ACTION
5 info memory
6 warning memory
7 error memory
9 caps CapsRemote
Запрещаем топику caps отправлять данные в info с помощью символа отрицания «!«:
system logging set numbers=5 topics=info,!caps
Сделаем еще раз вывод топиков:
system logging print
Flags: X — disabled, I — invalid, * — default
# TOPICS ACTION
5 info memory
!caps
6 warning memory
7 error memory
9 caps CapsRemote
Видим, что из info исключен caps
Настраиваем syslog на прием логов Mikrotik
В начало конфигурационного файла /etc/syslog.conf вписываем следующие строки:
Где 192.168.6.2 — адрес нашего Mikrotik Создадим директорию для нашего лога:
Должен создаться лог-файл:
В логе на самом Mikrotik данная информация не дублируется, то что нам и нужно.
Настроим ротацию лога
Будем ежедневно архивировать (bz2 архив) логи, срок хранения 7 дней
# /etc/rc.d/newsyslog restart
