O armazenamento de logs dentro de qualquer appliance tem uma limitação devido a capacidade da memória flash que costuma ser bem pequena. No caso do Mikrotik se não estou enganado há um limite padrão de 1000 linhas, e embora seja possível ajustar para um pouco mais se precisarmos de, digamos, 5 anos de histórico, você pode começar a ter problemas de falta de espaço. Neste caso redirecionar os logs para um servidor onde você possa adicionar discos pode ser a solução.
Para você ver os registros de log no seu Mikrotik você pode usar a interface WEB, a aplicação de gerencia (Winbox) ou o terminal SSH.
Neste último, o comando a ser digitado é:
/log printou se quiser ficar monitorando bastaria adicionar o parâmetro “follow”
/log print followVocê pode logar qualquer coisa que ocorra no seu Mikrotik, no entanto guardar por muito tempo informações de boot, update, login, ou consultas DNS pode não fazer sentido para sua necessidade, então você pode optar por transferir tudo ou apenas um “tópico” para o servidor de logs.
No meu caso que exemplifico aqui eu estou enviando para um servidor remoto apenas os registros do firewall em uma máquina da minha rede que responde com o IP 192.168.18.10. PRa isso sã ousadas apenas as duas linhas abaixo:
/system logging action set [find name=remote] remote=192.168.18.10 syslog-severity=info
/system logging add action=remote topics=firewallOs tópicos possíveis de serem usados são encontrados na própria documentação do Mikrotik onde há bastante informação útil a respeito deste recurso.
Uma vez feito isso, se o seu servidor já estiver recebendo logs de outras máquinas na rede, é possível que o Mikrotik já esteja enviando informações pra lá também, mas caso você nunca tenha mexido nisso você terá que autorizar o syslog da máquina a receber os registros.
Assim, entre na máquina 192.168.18.10 edite o arquivo /etc/rsyslog.conf e confira se ele está apto a receber entradas por UDP na porta 514.
No meu exemplo, quem responde por este IP e que será usada para armazenar os logs é uma máquina com Ubuntu e a autorização seria feita apenas descomentando as linhas abaixo:
module(load="imudp") input(type="imudp" port="514")
Depois disso é só reiniciar o serviço rsyslog que os logs do Mikrotik começarão a ser registrados no servidor.
systemctl restart rsyslogAgora basta acompanhar os registros nos arquivos de log da máquina, ao invés de ficar olhando no Mikrotik.
tail -f /var/log/syslog
Dependendo da regra que está sendo logada, o resultado poderá ser algo como segue:
Nov 16 12:53:11 _gateway firewall,info BLOCKLIST input: in:ether1 out:(unknown 0), src-mac 00:11:5d:6b:8f:46, proto TCP (SYN), 103.98.19.39:41507->186.61.201.211:42222, len 40 Nov 16 12:53:16 _gateway firewall,info BLOCKLIST input: in:ether1 out:(unknown 0), src-mac 00:11:5d:6b:8f:46, proto TCP (SYN), 45.129.33.40:47913->186.61.201.211:9307, len 40 Nov 16 12:53:30 _gateway firewall,info BLOCKLIST input: in:ether1 out:(unknown 0), src-mac 00:11:5d:6b:8f:46, proto TCP (SYN), 139.59.116.115:52261->186.61.201.211:9045, len 40