MK-AUTH

[Tutorial] Logs: Gerar log de conexões do mikrotik em um servidor de log debian com syslog-ng [Dica]

Instala o debian sem selecionar nenhum software apenas o sistema funcional...


Após instalar faça:

aptitude purge rsyslog

aptitude install syslog-ng

nano /etc/syslog-ng/syslog-ng.conf
--------------------------------------------------------------------------
@version: 3.1
#
# Syslog-ng configuration file, compatible with default Debian syslogd
# installation. Originally written by anonymous (I can't find his name)
# Revised, and rewrited by me (SZALAY Attila <sasa@debian.org>)

# First, set some global options.
options { long_hostnames(off); flush_lines(0); use_dns(no); use_fqdn(no);
      owner("root"); group("adm"); perm(0640); stats_freq(0);
      bad_hostname("^gconfd$");
};

###########
# sources #
###########

# all known message sources
source s_mikrotik {
        udp();
};


################
# destinations #
################

destination df_destino_mikrotik { file("/var/log/mikrotik/destino/destino-$YEAR$MONTH$DAY.txt" create_dirs(yes)); };

destination df_auth_mikrotik { file("/var/log/mikrotik/auth/auth-$YEAR$MONTH$DAY.txt" create_dirs(yes)); };

##########
# filter #
##########

filter f_auth_mikrotik { match("AUTH"); };

filter f_destino_mikrotik { match("DESTINO"); };

######
# logs
log {source(s_mikrotik); filter(f_destino_mikrotik); destination(df_destino_mikrotik); };

log {source(s_mikrotik); filter(f_auth_mikrotik); destination(df_auth_mikrotik); };
--------------------------------------------------------------------------
obs: com essa nova versão do syslog-ng ele da uma mensagem de cuida com a função match e value dizendo que é ela esta em desuso por cusar perca de performace...
Ainda não consegui resolver essa mensagem de aviso... Se alguém tiver alguma idéia será bem vindo a ajuda...


No Mikrotik

/ip firewall nat
add action=log chain=dstnat disabled=no dst-address=!192.168.14.0/24 log-prefix=DESTINO protocol=tcp


/system logging action
set remote bsd-syslog=no name=remote remote=192.168.14.101 remote-port=514 \
    src-address=0.0.0.0 syslog-facility=daemon syslog-severity=auto target=\
    remote


/system logging
add action=remote disabled=no prefix="" topics=firewall,info
add action=remote disabled=no prefix=AUTH topics=hotspot,account,info
add action=remote disabled=no prefix=AUTH topics=hotspot,debug,info

 

obs: em set remote bsd-syslog=no name=remote remote=192.168.14.101 remote-port=514...

remote=[ip do seu debian com o syslog-ng]

DICA:

Para maior segurança add essa regra no firewall se seu servidor de log se ele for apenas servidor de log:

iptables -A INPUT ! -s 192.168.14.10 -j DROP

 

192.168.14.10= IP do mikrotik ou seja ele so vai aceirtar entrado apenas do servidor mikrotik para a gravação de log.

 

Att,

Wilker Paz.

Exibições: 12092

Responder agora

Respostas a este tópico

acompanhando...

Responder à discussão

RSS

Parceiros

© 2017   Criado por Pedro Filho.   Ativado por

Badges - Divulgar  |  Relatar erro no site  |  Termos de serviço