Rejestrowanie zdarzeń w systemie jest bardzo ważnym elementem. Służy nie tylko bezpieczeństwu i wykrywaniu anomalii ale też pozwala poznać sam system i zdarzenia które w nim zachodzą. W tym artykule przedstawię temat logów w systemie MikroTik RouterOS.
Artykuł został przygotowany przy użyciu systemu RouterOS w wersji 6.42.3 (current).
Wyświetlanie logów
Wchodząc w menu głównym winbox’a w okno Log ukazuje się nam tabelka z wszystkimi logami które router ma zebrane.
Idąc od lewej kolumny przedstawiają:
- datę zdarzenia,
- miejsce gdzie wpis jest przechowywany (domyślnie wszystko jest w pamięci RAM więc po reboocie urządzenia znika),
- kategorię której dany wpis dotyczy,
- opis samego zdarzenia.
Alternatywnie możemy użyć polecenia w konsoli:
/log print
Konfiguracja logów
Konfigurację logowania zdarzeń przeprowadzamy w System->Logging. W zakładce Action możemy zdefiniować co ma się stać z logami które powstaną. Możemy zastosować następujące akcje:
- disk – czyli zapis do pliku tekstowego w pamięci flash urządzenia. Definiujemy nazwę pliku, ilość plików jakie mogą powstać oraz ilość linii w pliku. Parametr „Stop on Full” jeżeli jest zaznaczony zakończy zapis logów jeżeli limit plików oraz linii w nich zostanie osiągnięty. Natomiast jest odznaczenie spowoduje usunięcie najstarszego pliku i utworzenie nowego do zapisu po osiągnięciu limitu.
- echo – log zostanie zwrócony w konsoli systemowej.
- email – każdy rekord z tą akcją zostanie wysłany na wskazany adres e-mail. Najpierw należy skonfigurować funkcjonalność e-mail w Tool->e-mail.
- memory – zapis logu do pamięci RAM. Możemy określić maksymalną ilość linii logu. Parametr „Stop on Full” jeżeli jest zaznaczony zakończy zapis logów jeżeli linii zostanie osiągnięty. Natomiast jest odznaczenie spowoduje że logi będą zapisywane niezależnie od ilości linii.
- remote – wysłanie na zdalny serwer logów. MikroTik wyśle log na zdalnego hosta który udostępnia opcje zapisu logów. Wykorzystywany jest protokół UDP.
W zakładce Rules ustawiamy jakie kategorie logów mają być zbierane. Wybieramy w tym celu dowolną ilość tematów oraz akcję jaka ma się na nich wykonać. Możemy też dopisać prefix który pojawi się na początku danego wpisu z logiem. Temat i akcję można wybrać wiele razy. Możemy również zablokować zbieranie danej pary kategorii, na przykład chcemy zbierać logi debug ale nie interesuje nas debug ipsec. Wtedy przy IPSEC zaznaczamy wykrzyknik – przykład na obrazku.