Indice   FAQ  
Iscriviti  Login
Indice RouterOS RouterOS

Il mio primo server log

Tutto su questo sistema operativo linux based - Configurazioni, dubbi, problematiche &....

Il mio primo server log

Messaggioda mignatiello » mar 30 lug 2019, 10:38

Salve ragazzi, ho bisogno di un aiuto.
Possiedo dei router Mikrotik posizionati geo localmente fuori dalla mia rete, quindi il tutto non viene gestito in locale. Per legge ho la necessita di creare un server per salvare i log dei miei clienti .
Su questo forum ho letto la guida di ppraz ed essendo la mia prima configurazione in ambito linux non mi è molto intuitiva la cosa, ho molte lacune da colmare. Qualcuno sta usando tutt'ora syslog-ng o rsyslog? Come vi trovate? Qualcuno di buon cuore avrebbe la pazienza di aiutarmi? :emo_pic_56:
Vi ringrazio per il vostro aiuto.
mignatiello
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 15
Iscritto il: gio 25 gen 2018, 17:03
Uso routerOS dalla Versione: v6.x

Re: Il mio primo server log

Messaggioda ppraz » mar 30 lug 2019, 13:11

Ciao,
come ti dicevo in messaggio privato
La guida è sempre valida, ad eccezione di qualche aggiustamento sul sistema operativo che nel frattempo è evoluto.
Mi permetto però di sottolineare:
- la guida è valida sia per IP privati che pubblici
- l'uso in ambiente pubblico si porta dietro tutta una serie di questioni sulla sicurezza non banali

Complessivamente ti sconsiglio di imbarcarti in una avventura che poi non puoi gestire da solo!
ppraz
Staff rosIT
Staff rosIT
 
Messaggi: 860
Iscritto il: sab 12 mar 2011, 13:13
Uso routerOS dalla Versione: v3.x

Re: Il mio primo server log

Messaggioda mignatiello » mar 30 lug 2019, 14:08

Quindi cosa mi consigli di fare? perché comunque in un modo o in un altro dovrei memorizzare questi log.
Grazie mille.
mignatiello
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 15
Iscritto il: gio 25 gen 2018, 17:03
Uso routerOS dalla Versione: v6.x

Re: Il mio primo server log

Messaggioda ppraz » mar 30 lug 2019, 21:03

Puoi creare il syslog, assegnargli un IP pubblico e creare su di esso regole di firewall per accettare comunicazioni SOLO ED ESCLUSIVAMENTE da IP fidàti.
Immagino che le routerboard esterne abbiano tutte IP pubblico statico, altrimenti diventa davvero difficile da gestire
ppraz
Staff rosIT
Staff rosIT
 
Messaggi: 860
Iscritto il: sab 12 mar 2011, 13:13
Uso routerOS dalla Versione: v3.x

Re: Il mio primo server log

Messaggioda mignatiello » mer 31 lug 2019, 15:51

Per fare un test sul funzionamento di syslog-ng sto provando tutto in locale come nelle guida.
Sto usando:
Un router mikrotik: con ip 192.168.1.1
il server syslog: con ip 192.168.1.40 con ubuntu 16.04
programmo tutto nei minimi dettagli come da guida, ma quando vado a dare il comando
tail -f /var/log/miofiledilog.log
mi da questo: tail: cannot open '/var/log/miofiledilog.log' for reading: No such file or directory
tail: no files remaining
Dove sbaglio?
mignatiello
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 15
Iscritto il: gio 25 gen 2018, 17:03
Uso routerOS dalla Versione: v6.x

Re: Il mio primo server log

Messaggioda ppraz » mer 31 lug 2019, 19:58

L'errore significa che il file "miofiledilog.log" non esiste
Verifica l'esistenza del file
Se non esiste esegui il comando
touch /var/log/miofiledilog.log
Poi riavvia il servizio syslog-ng
Quindi verifica di nuovo
ppraz
Staff rosIT
Staff rosIT
 
Messaggi: 860
Iscritto il: sab 12 mar 2011, 13:13
Uso routerOS dalla Versione: v3.x

Re: Il mio primo server log

Messaggioda mignatiello » gio 1 ago 2019, 8:54

Ora riseco ad entrare nel file, ma, rimane vuoto non succede nulla. Ti incollo passo passo la mia configurazione, ti chiedo scusa se ti sto stressando, ma voglio capire dove ho sbagliando.

Syslog:
Immagine

Immagine

Immagine

Immagine

Immagine

Router:
Codice: Seleziona tutto

/interface bridge
add name=lan_bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no mode=ap-bridge \
    ssid=cleintprova
/interface ethernet
set [ find default-name=ether1 ] name=ether1-Internet
/interface pppoe-client
add disabled=no interface=ether1-Internet keepalive-timeout=60 max-mru=1480 \
    max-mtu=1480 mrru=1600 name=pppoe-internet password=telploi00 user=\
    prok15698
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=pipk125
/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=lan_bridge name=dhcp1 relay=\
    192.168.1.1
/system logging action
set 3 remote=192.168.1.40
/interface bridge port
add bridge=lan_bridge interface=ether2
add bridge=lan_bridge interface=ether3
add bridge=lan_bridge interface=ether4
add bridge=lan_bridge interface=ether5
add bridge=lan_bridge interface=wlan1
/ip address
add address=192.168.1.1/24 interface=lan_bridge network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall mangle
add action=log chain=prerouting connection-state=new dst-address=192.168.1.40 \
    in-interface=ether1-Internet src-address=192.168.1.0/24
/ip firewall nat
add action=masquerade chain=srcnat
/ip route
add distance=1 gateway=pppoe-internet
/ip service
set telnet disabled=yes
set ftp disabled=yes
/system clock
set time-zone-name=Europe/Rome
/system logging
add action=remote topics=pppoe,ppp,info,account,critical,error,warning

mignatiello
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 15
Iscritto il: gio 25 gen 2018, 17:03
Uso routerOS dalla Versione: v6.x

Re: Il mio primo server log

Messaggioda ppraz » gio 1 ago 2019, 10:53

Ciao,
la parte syslog server è ok
Devi verificare sulla parte routerboard
Ad esempio da me è configurato così:
Codice: Seleziona tutto
/system logging action
set 0 memory-lines=100
set 1 disk-lines-per-file=100
set 3 remote=IP_DEL_SYSLOG src-address=IP_DELLA_RB
/system logging
set 0 action=remote


Inoltre l'azione di loggare io l'ho fatta nei filters

Codice: Seleziona tutto
/ip firewall filter
add action=log chain=forward connection-state=new out-interface=sfp1 src-address=10.0.0.0/16

Io ho ristretto alle sole connessioni con src-address 10.0.0.0/16 e interfaccia di uscita la SFP1, ma ovviamente è solo perché mi fa comodo così
ppraz
Staff rosIT
Staff rosIT
 
Messaggi: 860
Iscritto il: sab 12 mar 2011, 13:13
Uso routerOS dalla Versione: v3.x

Re: Il mio primo server log

Messaggioda mignatiello » gio 1 ago 2019, 11:40

Niente, provato anche con la tua configurazione.
La mia wan e configurata con pppoe può dipendere da questo?
mignatiello
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 15
Iscritto il: gio 25 gen 2018, 17:03
Uso routerOS dalla Versione: v6.x

Re: Il mio primo server log

Messaggioda ppraz » gio 1 ago 2019, 12:44

No, assolutamente no
Fai così, usa tcpdump sul server syslog
il comando è banalmente:
Codice: Seleziona tutto
tcpdump port 514


Se è tutto ok lato routerboard vedrai arrivare una marea di pacchetti dall'IP della routerboard sulla porta 514 (syslog) del server

Codice: Seleziona tutto
13:45:11.508244 IP 192.168.100.19.514 > 192.168.100.8.514: [|syslog]
13:45:11.606814 IP 192.168.100.19.514 > 192.168.100.8.514: [|syslog]
13:45:11.606889 IP 192.168.100.19.514 > 192.168.100.8.514: [|syslog]
13:45:11.606963 IP 192.168.100.19.514 > 192.168.100.8.514: [|syslog]
13:45:11.607082 IP 192.168.100.19.514 > 192.168.100.8.514: [|syslog]
13:45:11.607166 IP 192.168.100.19.514 > 192.168.100.8.514: [|syslog]
13:45:11.607254 IP 192.168.100.19.514 > 192.168.100.8.514: [|syslog]
13:45:11.607332 IP 192.168.100.19.514 > 192.168.100.8.514: [|syslog]
13:45:11.607393 IP 192.168.100.19.514 > 192.168.100.8.514: [|syslog]
13:45:11.607475 IP 192.168.100.19.514 > 192.168.100.8.514: [|syslog]
13:45:11.607573 IP 192.168.100.19.514 > 192.168.100.8.514: [|syslog]
13:45:11.607635 IP 192.168.100.19.514 > 192.168.100.8.514: [|syslog]
13:45:11.607762 IP 192.168.100.19.514 > 192.168.100.8.514: [|syslog]
13:45:11.607776 IP 192.168.100.19.514 > 192.168.100.8.514: [|syslog]
13:45:11.607872 IP 192.168.100.19.514 > 192.168.100.8.514: [|syslog]
13:45:11.607945 IP 192.168.100.19.514 > 192.168.100.8.514: [|syslog]
13:45:11.608023 IP 192.168.100.19.514 > 192.168.100.8.514: [|syslog]
13:45:11.608103 IP 192.168.100.19.514 > 192.168.100.8.514: [|syslog]


In caso contrario è proprio sulla routerboard che devi capire perché questi pacchetti non arrivano
ppraz
Staff rosIT
Staff rosIT
 
Messaggi: 860
Iscritto il: sab 12 mar 2011, 13:13
Uso routerOS dalla Versione: v3.x



Torna a RouterOS

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti