Задача: Как очистить лог Mikrotik
Когда такая задача может возникнуть у настоящего системного администратора? Он ведь должен понимать, что имея на руках логи он может обозначить, как проникновение в свою систему, понять что подтолкнуло систему работать не стабильно и что делает система в течении всего дня. Но это с одной стороны, а если системный администратор хочет узнать почему так произошло и вдруг Mikrotik перестал вести логи — значит имело место быть несанкционированное проникновение или шутка коллег дабы подбавить важности их работы в компании. Я же хочу для себя разобрать, как очищается лог Mikrotik и как в случае чего восстановить его работу.
Мой Mikrotik (v6.39.2 on hAP lite), а так видит его утилита winbox → RB941-2nD
Дефолтные значения настройки ведения лога на Mikrotik:
[ekzorchik@MikroTik] > /system logging action print where name="memory" Flags: * - default 0 * name="memory" target=memory memory-lines=1000 memory-stop-on-full=no
если поставить значение 1 а после вернуть как по дефолту, то лог очистится:
[ekzorchik@MikroTik] > /system logging action set memory memory-lines=0
value of memory-lines out of range (1..65535)
[ekzorchik@MikroTik] > /system logging action set memory memory-lines=1
после в логе появляется запись: log action changed by ekzorchik
(я авторизован под этой учетной запись на микротике)
[ekzorchik@MikroTik] > /system logging action set memory memory-lines=1000
но как я понял это было до версии 6, а после якобы должна отработать команда:
[ekzorchik@MikroTik] > console clear-history
но увы также ничего не изменилось.
Обновил прошивку до версии на момент написания заметки: v6.41.2
но увы также ничего не изменилось.
Проверяю данные действия на RB951Ui-2HnD (v6.41.2):
[admin@MikroTik] > system logging action set memory memory-lines=1
смотрю и вижу что команда отработала как и задумывалось, все строки удалились но осталась одна в которой говорится что лог был изменен учетной из под авторизованной учетной записи, в данном выводе под admin
Возвращаю обратно:
[admin@MikroTik] > system logging action set memory memory-lines=1000
Итого получает что нельзя полностью скрыть свои действия.
А если отключить топики:
[admin@MikroTik] > system logging set disabled=yes numbers=0 [admin@MikroTik] > system logging set disabled=yes numbers=1 [admin@MikroTik] > system logging set disabled=yes numbers=2 [admin@MikroTik] > system logging set disabled=yes numbers=3 [admin@MikroTik] > system logging action set memory memory-lines=1
но теперь любые изменения в настройках Mikrotik не отражаются в логах, можно создать суперпользователя и перезайти и все что делается в логах не будет отражено.
[admin@MikroTik] > user add name=test password=test group=full
— в логах ничего.
На заметку: Чтобы отобразить, что все подчистилось нужно зайти под новым пользователем и не будет записи, что до этого было сделано, в частности отключение ведения логов и под кем, останется только что «log action removed by test
»
На заметку: Мой совет для тех кто использует логи и желает видеть что делается с системой это настроить их пересылку на удаленную Ubuntu систему, чтобы если что случится с Mikrotik, у Вас была полная картина что произошло. Вот я себя дома делаю так, да и в организациях которые администрирую, к примеру я оформил ранее о таком способе в этой заметке: «Как завести Mikrotik на LogAnalyzer»
На этом у меня всё, я добился своего и рассмотрел на применении двух железок как можно отключить ведение логов оборудования. С уважением автор блога Олло Александр aka ekzorchik.