Rsyslog – мониторинг логов MikroTik

Установка и настройка rsyslog

Итак, у нас есть Zabbix сервер который находится в облаке, он выступает PPTP сервером, и он же будет rsyslog сервером.

Будем считать, что Zabbix у вас уже функционирует и мониторит узлы, в том числе и маршрутизатор MikroTik по SNMP. Для начала идем на Zabbix сервер и проверим установлен ли у нас rsyslog командой «ls /etc/rsys*».

Видим, что его конфигурационный файл присутствует, значит он установлен. На многих версиях ubuntu он уже предустановлен, но бывают случаи, как было у меня что его нет, тогда его устанавливаем командой «apt install rsyslog».  После установки переходим в конфигурационный файл «nano /etc/rsyslog.conf» и настроим прием удаленных логов на наш сервер.

Раскомментируем строчки:

module(load=»imudp»)  — модуль для приема логов по udp.

input(type=»imudp» port=»514″) –udp порт который бут слушать наш rsyslog.

В принципе этого достаточно для приема удаленных логов, то тогда все устройства будут писать логи в один файл, и с ним будет очень сложно работать, не говоря уже о том, что к Zabbix прикрутить такой мониторинг будет невозможно. Для этого в rsyslog создадим правило фильтрации по IP адресам. Для этого добавим в конец конфига rsyslog следующую строку,

sudo mkdir -p /var/log/mikrotik
sudo chown syslog:adm /var/log/mikrotik
sudo chmod 750 /var/log/mikrotik
nano /etc/rsyslog.conf

# Зададим шаблон создания имен файлов (на основании IP адреса клиента)
if $fromhost-ip contains '172.16.1.1' then /var/log/mikrotik/mikrotik-172.16.1.1.log
if $fromhost-ip contains '172.16.2.1' then /var/log/mikrotik/mikrotik-172.16.2.1.log
if $fromhost-ip contains '172.16.3.1' then /var/log/mikrotik/mikrotik-172.16.3.1.log
if $fromhost-ip contains '172.16.4.1' then /var/log/mikrotik/mikrotik-172.16.4.1.log
if $fromhost-ip contains '172.16.5.1' then /var/log/mikrotik/mikrotik-172.16.5.1.log
if $fromhost-ip contains '172.16.6.1' then /var/log/mikrotik/mikrotik-172.16.6.1.log
if $fromhost-ip contains '172.16.7.1' then /var/log/mikrotik/mikrotik-172.16.7.1.log
if $fromhost-ip contains '172.16.8.1' then /var/log/mikrotik/mikrotik-172.16.8.1.log
if $fromhost-ip contains '172.16.9.1' then /var/log/mikrotik/mikrotik-172.16.9.1.log
if $fromhost-ip contains '172.16.10.1' then /var/log/mikrotik/mikrotik-172.16.10.1.log
if $fromhost-ip contains '172.16.11.1' then /var/log/mikrotik/mikrotik-172.16.11.1.log
if $fromhost-ip contains '172.16.12.1' then /var/log/mikrotik/mikrotik-172.16.12.1.log
if $fromhost-ip contains '172.16.13.1' then /var/log/mikrotik/mikrotik-172.16.13.1.log
if $fromhost-ip contains '172.16.14.1' then /var/log/mikrotik/mikrotik-172.16.14.1.log

Теперь нам осталось перезагрузить rsyslog service rsyslog restart и перейти к маршрутизатору MikroTik для настройки отправки логов.

Настройка Mikrotik для отправки логов на syslog сервер

Как видно по схеме сети наш роутер уже подключен по PPTP к Zabbix серверу, и отправлять логи мы будем на серый адрес VPN-сети 192.168.155.1. Их отправка настраивается в «System->logging»

На вкладке Rules видим типы сообщений в логах:

• Critical
• Error
• Info
• Warning

А на против в столбце Action куда они пишутся, открываем каждый тип сообщение и меняем у него Action на remote. Далее переходим на вкладку Action и там указываем в строчке remote куда слать логи.

Все на этом настройка и отправка логов с микротика на сервер rsyslog завершена, можем проверить создался и наполняется ли файл данными.