[Mikrotik] Setup server lưu trữ log cho thiết bị Mikrotik

1. Log là gì
2. Tầm quan trọng của log
3. Coi log trên Mikroitk
4. Setup server lưu trữ Log
5. Thiết lập remote log trên mikroitk
6. Test

1.Log là gì

Log là ghi chép, translate google ra thế thôi 😛

2. Tầm quan trọng của log

Log là 1 thành phần quan trọng không thể thiếu trong bất kì hệ thống mạng nào, dù nhỏ hay lớn. Công việc của 1 người quản trị hệ thống yêu cầu họ phải luôn luôn kiểm soát,nắm rõ tình trạng sự hoạt động của thiết bị mạng, server.Bất kỳ sự cố hay thay đổi nảo của server đêu được lưu lại để có thể kiểm tra khi cần thiết. Vì vậy,nếu không nắm rõ vị trí log của các services,các bạn sẽ rất lúng túng khi gặp một sự cố nào đó xảy ra với server, network ...

3. Coi log trên thiết bị Mikrotik

Để coi log trên Mikrotik ta có nhiều cách, có thể ssh vào dùng lệnh sau để coi [[email protected]] > log print follow

hoặc đơn giản hơn là ta có thể sử dụng phần mềm winbox để xem log

Hiện tại Mikrotik có thể tùy chọn lưu log trên disk hoặc memory, nhưng vì hạn chế về disk trên MIkrotik chỉ có 128MB nên ta phải tìm phương pháp khác để có thể lưu trữ lại log của thiết bị này để có thể lưu trữ và xem nếu cần thiết sau này

Và giải pháp được đưa ra là ta sẽ sử dụng 1 linux server cài đặt rsyslog để chuyển log trực tiếp từ thiết bị Mikrotik xuống server này Linux server được sử dụng ở đây là Ubuntu 16.04

4. Setup server lưu trữ log

Phần mềm được sử dụng trên Ubuntu là Rsyslog là 1 phần mềm tích hợp sẵn trên ubuntu dùng để lưu log server này, ta sẽ sử dụng để lưu log của Mikrotik luôn.

Để cài đặt rsyslog nhận được log từ mikrotik ta cấu hình cho nó nhận đc log thông qua 2 giao thức TCP/UDP bằng cách enable tính năng này trong file /etc/rsyslog.config và đồng ý dãy ip đc gởi log tới con server này

# provides UDP syslog reception module(load="imudp") input(type="imudp" port="514") # provides TCP syslog reception module(load="imtcp") input(type="imtcp" port="514") $AllowedSender TCP, 127.0.0.1, 172.16.1.0/24

Sau đó ta tiếp tục cấu hình phân loại cho từng loại log sẽ được lưu trong thư mục nào của server Ta tạo 1 file config để cấu hình trong thư mục bằng câu lệnh touch /etc/rsyslog.d/60-abc.conf và chỉnh sửa thành như sau

dhcp            /var/log/dhcpmikrotik.log
firewall        /var/log/firewallmikrotik.log
info            /var/log/infomikrotik.log
opvn            /var/log/opvnmikrotik.log
dns             /var/log/dnsmikrotik.log
interface       /var/log/interfacemikrotik.log
radius          /var/log/radiusmikrotik.log
web-proxy       /var/log/webproxymikrotik.log
warning         /var/log/warningmikrotik.log
system          /var/log/systemmikrotik.log
account         /var/log/accountmikrotik.log
~                                                 

mục đích là để phân loại từng loại log của mikrotik để sau này dễ tìm kiếm và phân tích ta có thể phân chia dựa theo các loại log có trong mikrotik như sau:

topics (account, bfd, caps, ddns, dns, error, gsm, info, iscsi, l2tp, manager, ntp, packet, pppoe, radvd, rip, script, smb, sstp, system, timer, vrrp, web-proxy, async, bgp, certificate, debug, dude, event, hotspot, interface, isdn, ldp, mme, ospf, pim, pptp, raw, route, sertcp, snmp, state, telephony, upnp, warning, wireless, backup, calc, critical, dhcp, e-mail, firewall, igmp-proxy, ipsec, kvm, lte, mpls, ovpn, ppp, radius, read, rsvp, simulator, ssh, store, tftp, ups, watchdog, write; Default: info)

Sau khi cấu hình xong ta lưu lại và bấm lệnh service rsyslog restart để load lại hết những gì ta cấu hình nãy giờ. Thế là xong phần server, bây giờ ta cấu hình cho mikrotik gởi dữ liệu log về server này nữa là xong.

5. Thiết lập remote log trên mikrotik

Ta vào System - Logging để bắt đầu thiết lập Đầu tiên ta cần tạo 1 Action log để mikrotik biết được server lưu trữ log

IP 172.16.4.206 là IP của server ubuntu lưu trữ log

Sau đó ta vào phần rules để trỏ tất cả các log đi qua remote này

như vậy là xong, đơn giản thế thôi, nhưng rất là cần thiết đấy

6. Test

Cùng vào coi các log đc lưu trữ trong thư mục /var/log nào.