LOG + HotSpot + User Manager

[ottavianos]

Ciao a tutti.

ho messo in piedi un sistema di HotSpot con "N" HotSpots remoti fatti da AP UBNT 2,4 Ghz e RB951 + Hard Disk USB per i log, i quali si collegano ad un User Manager messo su un'altra RB951 + Hard Disk USB per i log.
Per tutto il sistema ho a disposizione un unico indirizzo IP pubblico sul quale escono tutti gli hot spots, ovviamente nattati, ognuno con una subnet privata diversa.
Gli utenti gestiti sono circa 1000.
Tutto funziona perfettamente.
Il mio unico dubbio è sui log !
Attualmente loggo qualsiasi cosa si muovi nelle RB remote e sullo userman locale, ma è chiaro che non è la soluzione migliore !
In pratica negli hot spots loggo tutti i topics, mentre nello user manager solo il topic "manager".
Se in winbox apro la finestra "log" vedo una marea di roba.
Per non vedere ciò che è destinato al log ho pensato di fare questa modifica :

/system logging
set 0 topics=info,!firewall

Che dite, può essere utile ? E' giusta così o andrebbe fatta in maniera diversa ?


Questa è la configurazione degli Hot Spots : (uguale per tutti)


/system logging action
set 0 memory-lines=100
set 1 disk-lines-per-file=100
add disk-file-count=1000 disk-file-name=usb1/log_hs \
disk-lines-per-file=10000 name=log target=disk
/system logging
add action=log
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
add action=log chain=forward connection-state=new protocol=tcp src-address=\
10.5.11.0/24 tcp-flags=""
add action=log chain=forward protocol=udp src-address=10.5.11.0/24


Questa è la configurazione dello User Manager :

/system logging action
set 0 memory-lines=100
set 1 disk-lines-per-file=100
add disk-file-count=1000 disk-file-name=usb1/log_manager disk-lines-per-file=\
10000 name=manager target=disk
/system logging
add action=manager prefix=manager topics=manager


Ora io vorrei sapere cosa devo loggare per avere traccia dei movimenti degli utenti, dei vari IP visitati, ecc., per eventualmente identificarli in caso di richiesta della Polizia Postale,
oltre che avere una statistica di utilizzo del servizio da parte dei vari utenti.
Con questa configurazione, c'è il rischio di saturare la memoria delle RB ? (free memory è meno della metà del total memory) (56 contro 128)
Per quanto tempo, a norma di legge, devo conservare le connessioni dei clienti ?

Grazie.

[ottavianos]

Dimenticavo ...
Ho notato che all'interno dello User Manager tutti i record hanno l'orario GMT e non quello giusto di Roma, ovvero sono tutti 2 ore in dietro.
In winbox sulle RB, tutte le RB, (userman e hotspot) invece è giusto.
Come mai ?

Grazie.

[xanio]

controlal il time-zone degli apparati dove sta user-manager, e se usi lo stesso NTP server.

[ottavianos]

Si, si, la configurazione è giusta dappertutto (Roma) ed hanno tutti lo stesso NTP server.
E' solo lo User Manager che ignora il GMT Offset !
Ci sarà da qualche parte dove indicarglielo ????

Grazie comunque Xanio.

Nessuno mi aiuta sul discorso LOG ??????

[ppraz]

Sicuramente considera di loggare solo le instaurazioni di connessione (connection-state=new) e non tutte le connessioni già instaurate (established, related)
Altrimenti se scarico un file da 1 mb scrivo circa 700 righe sui log, invece il file è unico, quindi devo scrivere una sola riga di log (appunto il pacchetto con connection-state=new)

[ottavianos]

Grazie ppraz, in effetti, come si evince dal primo post in alto, il connection-state è già "new".

Essenzialmente le mie domande sono :
1 - quali topics devo loggare, negli Hot Spots e nella RB dove gira lo User Manager, per conservare tutto quello che occorre per sapere quali connessioni ha effettuato ogni cliente connesso ?
2 - Per quanto tempo devo conservare tali log ?
3 - E' corretta la mia configurazione in /ip firewall filter ?
4 - Dove posso indicare allo User Manager il GMT Offset ?

Grazie in anticipo a chi avrà voglia di rispondermi !

[xanio]

1. Sugli HS basta che logghi "hotspot e web-proxy" ed hai già tutto quello che ti serve.
2. 6 mesi.
3. non so a cosa ti possa servire , il servizio hotspot di default fa tutto quello che ti serve
4. penso che lo prende da sistema su cui è installato, i miei sono sincronizzati, ed io imposto solo sntp client.

[ottavianos]

Grazie per la risposta, proverò a fare come dici tu.
Per il punto 4 ho cambiato il time-zone dell'owner da "parent time zone" a "+2" e così si è allineato, solo che la user manager ha aggiornato TUTTI i record vecchi dei LOG e delle SESSION con il nuovo orario !!!
Quindi ogni volta che cambierà l'orario dovrò ricordarmi di andare a cambiare questa impostazione e vedrò ricalcolati tutti record !!!
Non mi sembra proprio comodo e giusto !!!

Pareri ?

[xanio]

le modifiche retro-attive, non mi sono mai piaciute se fatte in automatico...non sempre sono apprezzate.

[ottavianos]

Allora ragazzi, purtroppo me la son dovuta smazzare da solo ed ho raggiunto le seguenti conclusioni :

- il topic "hotspot" mi dice soltanto i movimenti dell'utente (login, logout, ecc.) ma nulla in merito alla navigazione.
- il topic "web-proxy" mi dice le URL richieste dall'utente prima di entrare nell'hotspot, una volta autenticato nell'hotspot non dice più nulla.
- loggare questi due topics non mi serve a nulla, quello che mi serve è la regola che ho in "/ip firewall filter" e loggare il topic "firewall".

Questo possa servire a chi leggerà in futuro ...