Ранее я показал (в первую очередь для самого себя) как развернуть сервис сбора логов с удаленных устройств и систем. И теперь там где у меня были подозрения что устройство как-то странно себя ведет я настраивать что все генерируемые сообщения присылать на мой LogAnalyzer для последующего анализа. К примеру вот этот вот Mikrotik (951Ui-2HnD, все обновлено на 29.05.2016) я заведу на сервер сбора логов и проанализирую какие вкусности мне доступны.
Авторизуюсь на самом Mikrotik’е:
Winbox — IP&MAC — user&pass — System — Logging — вкладка Actions, находим строку remote и через двойной клик мышью (левая кнопка) по ней открываем ее и изменяем на:
- Name: remote
- Type: remote
- Remote Address: 10.7.8.122
- Report Port: 514
остальные параметры менять не нужно, затем нажимаем Apply & OK
Затем переходим во вкладку Rules окна Logging и создаем необходимые правила хранения:
Add –
- Topics: critical
- Action: remote
затем нажимаем Apply & OK
По такому же принципу сделал и для info & warning все остальное имеющееся деактивировал.
Все готово. Теперь все наши логи будут храниться только на удаленном сервере.
Далее пример, подключусь как я к Mikrotik через ssh:
aollo@system:~$ ssh -l admin 10.7.8.161
[admin@MikroTik] >
Если кто-то будет с неправильным логином пробовать подключиться на Web–интерфейсе зафиксируются события:
А вот уже если по дольше поработать со снимаемыми данные то можно через регулярные запросы выводить только то что нужно:
source:=10.7.8.161 login failure
Вот то что мне и нужно было чтобы анализировать поведение моего сетевого оборудования за тот или иной момент времени. Ну а далее пусть каждый сам определит для себя какие типы событий и насколько подробно он хочет видеть детализированность генерируемых событий. Мне пока этого достаточно, на этом я прощаюсь и до новых встреч, с уважением ekzorchik.