Как очистить лог Mikrotik

Posted by

Задача: Как очистить лог

Когда такая задача может возникнуть у настоящего системного администратора? Он ведь должен понимать, что имея на руках логи он может обозначить, как проникновение в свою систему, понять что подтолкнуло систему работать не стабильно и что делает система в течении всего дня. Но это с одной стороны, а если системный администратор хочет узнать почему так произошло и вдруг Mikrotik перестал вести логи — значит имело место быть несанкционированное проникновение или шутка коллег дабы подбавить важности их работы в компании. Я же хочу для себя разобрать, как очищается лог Mikrotik и как в случае чего восстановить его работу.

Мой Mikrotik (v6.39.2 on hAP lite), а так видит его утилита winbox → RB941-2nD

Как очистить лог Mikrotik?Дефолтные значения настройки ведения лога на Mikrotik:

[ekzorchik@MikroTik] > /system logging action print where name="memory"

Flags: * - default

0 * name="memory" target=memory memory-lines=1000 memory-stop-on-full=no

если поставить значение 1 а после вернуть как по дефолту, то лог очистится:

[ekzorchik@MikroTik] > /system logging action set memory memory-lines=0

value of memory-lines out of range (1..65535)

[ekzorchik@MikroTik] > /system logging action set memory memory-lines=1

после в логе появляется запись: log action changed by ekzorchik (я авторизован под этой учетной запись на микротике)

[ekzorchik@MikroTik] > /system logging action set memory memory-lines=1000

но как я понял это было до версии 6, а после якобы должна отработать команда:

[ekzorchik@MikroTik] > console clear-history

но увы также ничего не изменилось.

Обновил прошивку до версии на момент написания заметки: v6.41.2

но увы также ничего не изменилось.

Проверяю данные действия на RB951Ui-2HnD (v6.41.2):

[admin@MikroTik] > system logging action set memory memory-lines=1

смотрю и вижу что команда отработала как и задумывалось, все строки удалились но осталась одна в которой говорится что лог был изменен учетной из под авторизованной учетной записи, в данном выводе под admin

Запись, настройка и ведение логов изменено под указанной учетной записью

Возвращаю обратно:

[admin@MikroTik] > system logging action set memory memory-lines=1000

Итого получает что нельзя полностью скрыть свои действия.

А если отключить топики:

[admin@MikroTik] > system logging set disabled=yes numbers=0

[admin@MikroTik] > system logging set disabled=yes numbers=1

[admin@MikroTik] > system logging set disabled=yes numbers=2

[admin@MikroTik] > system logging set disabled=yes numbers=3

[admin@MikroTik] > system logging action set memory memory-lines=1

но теперь любые изменения в настройках Mikrotik не отражаются в логах, можно создать суперпользователя и перезайти и все что делается в логах не будет отражено.

Логи Mikrotik удалены из под указанного пользователя[admin@MikroTik] > user add name=test password=test group=full — в логах ничего.

На заметку: Чтобы отобразить, что все подчистилось нужно зайти под новым пользователем и не будет записи, что до этого было сделано, в частности отключение ведения логов и под кем, останется только что «log action removed by test»

На заметку: Мой совет для тех кто использует логи и желает видеть что делается с системой это настроить их пересылку на удаленную Ubuntu систему, чтобы если что случится с Mikrotik, у Вас была полная картина что произошло. Вот я себя дома делаю так, да и в организациях которые администрирую, к примеру я оформил ранее о таком способе в этой заметке: «Как завести Mikrotik на LogAnalyzer»

На этом у меня всё, я добился своего и рассмотрел на применении двух железок как можно отключить ведение логов оборудования. С уважением автор блога Олло Александр aka ekzorchik.