MK-AUTH

[Tutorial] Logs: Gerar log de conexões do mikrotik em um servidor de log debian com syslog-ng [Dica]

Instala o debian sem selecionar nenhum software apenas o sistema funcional...


Após instalar faça:

aptitude purge rsyslog

aptitude install syslog-ng

nano /etc/syslog-ng/syslog-ng.conf
--------------------------------------------------------------------------
@version: 3.1
#
# Syslog-ng configuration file, compatible with default Debian syslogd
# installation. Originally written by anonymous (I can't find his name)
# Revised, and rewrited by me (SZALAY Attila <sasa@debian.org>)

# First, set some global options.
options { long_hostnames(off); flush_lines(0); use_dns(no); use_fqdn(no);
      owner("root"); group("adm"); perm(0640); stats_freq(0);
      bad_hostname("^gconfd$");
};

###########
# sources #
###########

# all known message sources
source s_mikrotik {
        udp();
};


################
# destinations #
################

destination df_destino_mikrotik { file("/var/log/mikrotik/destino/destino-$YEAR$MONTH$DAY.txt" create_dirs(yes)); };

destination df_auth_mikrotik { file("/var/log/mikrotik/auth/auth-$YEAR$MONTH$DAY.txt" create_dirs(yes)); };

##########
# filter #
##########

filter f_auth_mikrotik { match("AUTH"); };

filter f_destino_mikrotik { match("DESTINO"); };

######
# logs
log {source(s_mikrotik); filter(f_destino_mikrotik); destination(df_destino_mikrotik); };

log {source(s_mikrotik); filter(f_auth_mikrotik); destination(df_auth_mikrotik); };
--------------------------------------------------------------------------
obs: com essa nova versão do syslog-ng ele da uma mensagem de cuida com a função match e value dizendo que é ela esta em desuso por cusar perca de performace...
Ainda não consegui resolver essa mensagem de aviso... Se alguém tiver alguma idéia será bem vindo a ajuda...


No Mikrotik

/ip firewall nat
add action=log chain=dstnat disabled=no dst-address=!192.168.14.0/24 log-prefix=DESTINO protocol=tcp


/system logging action
set remote bsd-syslog=no name=remote remote=192.168.14.101 remote-port=514 \
    src-address=0.0.0.0 syslog-facility=daemon syslog-severity=auto target=\
    remote


/system logging
add action=remote disabled=no prefix="" topics=firewall,info
add action=remote disabled=no prefix=AUTH topics=hotspot,account,info
add action=remote disabled=no prefix=AUTH topics=hotspot,debug,info

 

obs: em set remote bsd-syslog=no name=remote remote=192.168.14.101 remote-port=514...

remote=[ip do seu debian com o syslog-ng]

DICA:

Para maior segurança add essa regra no firewall se seu servidor de log se ele for apenas servidor de log:

iptables -A INPUT ! -s 192.168.14.10 -j DROP

 

192.168.14.10= IP do mikrotik ou seja ele so vai aceirtar entrado apenas do servidor mikrotik para a gravação de log.

 

Att,

Wilker Paz.

Exibições: 11515

Responder agora

Respostas a este tópico

obrigado pela dica Wilker.

Valeu pedro...Penso que será útil para muitas pessoas...

 

Att,

Wilker Paz


Pedro Filho disse:

obrigado pela dica Wilker.
já deixei nos favoritos, quando tiver um tempo eu ponho em prática!

Legal mais um que gostou... rss

 

Só quero que usem adaptem a rede de vcs e postem qualquer melhoria...

 

Att,

Wilker Paz.


RENATO COSTA DO NASCIMENTO disse:

já deixei nos favoritos, quando tiver um tempo eu ponho em prática!
tem como fazer ele salvar ao invez de txt salvar numa base mysql ?

Rapaz, esse post seu é exatamente o que eu estava precisando. Show de bola! Vou ver se eu implemento ele hoje a noite para testar.

Parabéns pela iniciativa!

Bom nunca fiz isso não, mas se vc tiver dominio de mysql e quiser implementar cria uma solucão ai pra gente, fique a vontade e va posando suas solucões que a galera ajuda... talvez dessa forma ja deve até ter uma forma de fazer filtros ja na geração dos logs...

 

Att.

Wilker Paz

Antonoel Cavalcante disse:

tem como fazer ele salvar ao invez de txt salvar numa base mysql ?
Parabéns pela iniciativa Wilker.

Boa tarde, Wilker como faco pra ver os logs??

Att, Speedy

MESTRE MKAUTH

Olá Amigo !.

Testei, aquí e está funcionando, más não sei como colocar para receber tambem ao mesmo tempo de outros mikrotiks e com a identificação de cada um ou seja essas linhas abaixo teria de serem duplicadas para cada um dos mikrotiks?.

destination df_destino_mikrotik { file("/var/log/mikrotik/destino/destino-$YEAR$MONTH$DAY.txt" create_dirs(yes)); };

destination df_auth_mikrotik { file("/var/log/mikrotik/auth/auth-$YEAR$MONTH$DAY.txt" create_dirs(yes)); };

##########
# filter #
##########

filter f_auth_mikrotik { match("AUTH"); };

filter f_destino_mikrotik { match("DESTINO"); };

Para receber os logS de vário servidores ou Mikrotiks externos; fiz assim:

@version: 3.1
#
# Syslog-ng configuration file, compatible with default Debian syslogd
# installation. Originally written by anonymous (I can't find his name)
# Revised, and rewrited by me (SZALAY Attila <sasa@debian.org>)

# First, set some global options.
options { long_hostnames(off); flush_lines(0); use_dns(no); use_fqdn(no);
      owner("root"); group("adm"); perm(0640); stats_freq(0);
      bad_hostname("^gconfd$");
};

###########
# sources #
###########

# all known message sources
source s_mikrotik {
        udp();
};


################       mikrotik-1 ( rb750)
# destinations WILTEC BASE #
################
destination df_destino_mikrotik { file("/var/log/mikrotik/destino/destino-$YEAR$MONTH$DAY.txt" create_dirs(yes)); };
destination df_auth_mikrotik { file("/var/log/mikrotik/auth/auth-$YEAR$MONTH$DAY.txt" create_dirs(yes)); };
##########
# filter WILTEC BASE#
##########
filter f_auth_mikrotik { match("AUTH"); };
filter f_destino_mikrotik { match("DESTINO"); };
######
# logs WILTEC BASE
log {source(s_mikrotik); filter(f_destino_mikrotik); destination(df_destino_mikrotik); };
log {source(s_mikrotik); filter(f_auth_mikrotik); destination(df_auth_mikrotik); };


################       mikrotik-2 ( rb750)

# destinations CHEQUEVARA #
################
destination df_destino_chequevara_mikrotik { file("/var/log/mikrotik/destino_chequevara/destino_chequevara-$YEAR$MONTH$DAY.txt" create_dirs(yes)); };
destination df_auth_chequevara_mikrotik { file("/var/log/mikrotik/auth_chequevara/auth_chequevara-$YEAR$MONTH$DAY.txt" create_dirs(yes)); };
##########
# filter CHEQUEVARA #
##########
filter f_auth_chequevara_mikrotik { match("AUTH_CHEQUEVARA"); };
filter f_destino_chequevara_mikrotik { match("DESTINO_CHEQUEVARA"); };
######
# logs CHEQUEVARA
log {source(s_mikrotik); filter(f_destino_chequevara_mikrotik); destination(df_destino_chequevara_mikrotik); };
log {source(s_mikrotik); filter(f_auth_chequevara_mikrotik); destination(df_auth_chequevara_mikrotik); };


################       mikrotik-3 ( rb750)
# destinations RESIDENCIAL_SUL #
################
destination df_destino_resudencial_sul_mikrotik { file("/var/log/mikrotik/destino_resudencial_sul/destino_resudencial_sul-$YEAR$MONTH$DAY.txt" create_dirs(yes)); };
destination df_auth_resudencial_sul_mikrotik { file("/var/log/mikrotik/auth_resudencial_sul/auth_resudencial_sul-$YEAR$MONTH$DAY.txt" create_dirs(yes)); };
##########
# filter RESIDENCIAL_SUL #
##########
filter f_auth_resudencial_sul_mikrotik { match("AUTH_RESIDENCIAL_SUL"); };
filter f_destino_resudencial_sul_mikrotik { match("DESTINO_RESIDENCIAL_SUL"); };
######
# logs RESIDENCIAL_SUL
log {source(s_mikrotik); filter(f_destino_resudencial_sul_mikrotik); destination(df_destino_resudencial_sul_mikrotik); };
log {source(s_mikrotik); filter(f_auth_resudencial_sul_mikrotik); destination(df_auth_resudencial_sul_mikrotik); };








mas depois que está pronto como é desposto os logs:

dá pra mostrar um print?

dá pra ter um controle do que os clientes navegam para em caso de justiça agente saber que ip acessou tal pagina?

fico grato pela dica.

Responder à discussão

RSS

Parceiros

© 2017   Criado por Pedro Filho.   Ativado por

Badges - Divulgar  |  Relatar erro no site  |  Termos de serviço