Logando o seu firewall Mikrotik em um servidor de logs centralizado

O armazenamento de logs dentro de qualquer appliance tem uma limitação devido a capacidade da memória flash que costuma ser bem pequena. No caso do Mikrotik se não estou enganado há um limite padrão de 1000 linhas, e embora seja possível ajustar para um pouco mais se precisarmos de, digamos, 5 anos de histórico, você pode começar a ter problemas de falta de espaço. Neste caso redirecionar os logs para um servidor onde você possa adicionar discos pode ser a solução.

Para você ver os registros de log no seu Mikrotik você pode usar a interface WEB, a aplicação de gerencia (Winbox) ou o terminal SSH.

Neste último, o comando a ser digitado é:

ou se quiser ficar monitorando bastaria adicionar o parâmetro “follow”

Você pode logar qualquer coisa que ocorra no seu Mikrotik, no entanto guardar por muito tempo informações de boot, update, login, ou consultas DNS pode não fazer sentido para sua necessidade, então você pode optar por transferir tudo ou apenas um “tópico” para o servidor de logs.

No meu caso que exemplifico aqui eu estou enviando para um servidor remoto apenas os registros do firewall em uma máquina da minha rede que responde com o IP 192.168.18.10. PRa isso sã ousadas apenas as duas linhas abaixo:

Os tópicos possíveis de serem usados são encontrados na própria documentação do Mikrotik onde há bastante informação útil a respeito deste recurso.

Uma vez feito isso, se o seu servidor já estiver recebendo logs de outras máquinas na rede, é possível que o Mikrotik já esteja enviando informações pra lá também, mas caso você nunca tenha mexido nisso você terá que autorizar o syslog da máquina a receber os registros.

Assim, entre na máquina 192.168.18.10 edite o arquivo /etc/rsyslog.conf e confira se ele está apto a receber entradas por UDP na porta 514.

No meu exemplo, quem responde por este IP e que será usada para armazenar os logs é uma máquina com Ubuntu e a autorização seria feita apenas descomentando as linhas abaixo:

Depois disso é só reiniciar o serviço rsyslog que os logs do Mikrotik começarão a ser registrados no servidor.

Agora basta acompanhar os registros nos arquivos de log da máquina, ao invés de ficar olhando no Mikrotik.

Dependendo da regra que está sendo logada, o resultado poderá ser algo como segue:

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.