-
4 Anexo(s)
Gerar LOG de conexoes.
Estamos vivendo em uma era que praticamente tudo é digital.
Nao vivemos sem computador.
Assim como existe crime na vida real, existem tambem os crimes virtuais.
Que são os delitos praticados através da internet que podem ser enquadrados no Código Penal Brasileiro e os infratores estão sujeitos às penas previstas na Lei.
Uma forma de rastrear e chegar ao criminoso é atraves do seu IP.
Acontece que muitos provedores usam NAT, o que dificulta a indentificacao dos criminosos virtuais.
Alguns provedores fazem uso do Relatorio do Squid, gerando um relatorio de cada site que o cliente acessou.... alem de poder ser considerado uma pratica contra a lei (ja que esta invandindo a privacidade do cliente), ainda tem a questao de nao ter relatorio de tudo... e as conexoes via ssh, telnet, dentre varias outras?
Mas e agora?
Como farei para indentificar o cliente caso seja requisitado pela Justiça?
A melhor forma para quem usa NAT é guardando todo os Logs de conexao do cliente com a Internet.
Vamos la:
1. configurar o Firewall do mk para gerar os Logs:
Citação:
/ip firewall filter
add action=log chain=forward disabled=no log-prefix=LogRede in-interface=REDE
Esteja certo de colocar a Interface interna/rede.
Imagem da configuracao do firewall:
Anexo 23018
2. configurar o MK para enviar os logs remotamente:
Citação:
/system logging action
set remote bsd-syslog=no name=remote remote=IP-do-PC-q-vai-receber-os-logs remote-port=514 src-address=0.0.0.0 syslog-facility=daemon syslog-severity=auto target=remote
Esteja certo de colocar o IP correto do PC que ira receber os logs
Imagem:
Anexo 23019
3. criar a Regra do log para ser enviado:
Citação:
/system logging
add action=remote disabled=no prefix="" topics=firewall
imagem:
Anexo 23020
4. Faça o Donwload do Mikrotik Daemon no pc que ira receber os logs
http://www.mikrotik.com/download/MT_Syslog.exe
Se tudo correu bem, vc nao precisara fazer nenhuma configuracao adicional...
basta abrir o syslog que automaticamente ira receber os logs
Esteja certo que o Syslog esta desbloqueado no firewall do windows
imagem:
Anexo 23021
Bom, espero ter ajudado.
Obs: se a dica foi boa, nao esquece de agradecer (basta clicar na estrilinha logo abaixo), ueshueshes
-
Re: Gerar LOG de conexoes.
Ja ia me esquecendo.
vc devera guardar historico do cadastro dos cliente: Nome Cliente, cpf, rg, endereco, telefones, ip fixo dele ou nome do usuario (caso autenticacao Hotspot ou ppoe).
Autenticacao IPxMAC
Para esses logs funcionar, vc devera enviar para seu cliente IP fixo... aquele cliente tera que ter sempre aquele IP.
Autenticacao Hotspot ou PPOE
podem enviar IP fixo tbm, dessa forma vc devera guardar apenas o historico do cadastro e o log de conexao.
Caso envie IP dinamico, vc devera guardar tbm log da autenticacao (onde é informado que o Usuario X se autenticou em tal hora e pegou tal IP)
-
Re: Gerar LOG de conexoes.
Bom dia Mascaraapj.
Tenho a seguinte duvida, na imagem vc diz que é "In-Interface", ja na regra por escrito vc diz que é "out-interface.
Qual é a forma correta?
-
Re: Gerar LOG de conexoes.
obrigado pela contribuição
-
Re: Gerar LOG de conexoes.
Preciso montar um desses urgentes pois nao consigo durmir sucegado pensando nisso minha pergunta é se o mk deve ser separado do mk que faz o host post.
Eu tenho um mk fazendo host post devo colocar a regra nele pra enviar os logs a outro mk com o MT_SYSLOG instalado nele?
Meu mk tem 3 placas de rede preciso colocar mais uma para isso ficando ETHER1 -LINK, ETHER 2 REDE, ETHER 3 - CACHE AI DEVO COLOCAR UM ETHER 4 PRO MICRO DE LOG?
-
Re: Gerar LOG de conexoes.
Otimo Tópico.... Parabéns
E disso que o forum precisa....
-
Re: Gerar LOG de conexoes.
Citação:
Postado originalmente por
abu
Bom dia Mascaraapj.
Tenho a seguinte duvida, na imagem vc diz que é "In-Interface", ja na regra por escrito vc diz que é "out-interface.
Qual é a forma correta?
Bem observado
devo ter enviado a imagem errada
o correto é in-interface, vc seleciona a interface da sua rede interna.
Citação:
Postado originalmente por
salvato
Preciso montar um desses urgentes pois nao consigo durmir sucegado pensando nisso minha pergunta é se o mk deve ser separado do mk que faz o host post.
Eu tenho um mk fazendo host post devo colocar a regra nele pra enviar os logs a outro mk com o MT_SYSLOG instalado nele?
Meu mk tem 3 placas de rede preciso colocar mais uma para isso ficando ETHER1 -LINK, ETHER 2 REDE, ETHER 3 - CACHE AI DEVO COLOCAR UM ETHER 4 PRO MICRO DE LOG?
No mk que esta fazendo hotspot vc cria as regras para enviar o log para o computador que ira receber os logs
no caso, o syslog é aberto no windows para receber os logs
-
1 Anexo(s)
Re: Gerar LOG de conexoes.
Ola Amigo, parabens pela iniciativa, muito bom seu post.
este seu post me deu uma ideia, temos aqui uma central de reservas e a galera esta abusando da internet, não to a fim de instalar squid nem algo deste tipo, nos hoteis temos o sistema isgi que gera estes log's mas não quero comprar um sistema só para colocar aqui.
então assim que vi seu post fui pra bancada fazer testes porem não consegui gerar nenhum informação acontece que ele não passa nenhum pacote pela regra criada, o que posso ter feito de errado?
meu senario de testes é adsl entrando pela ether1 nat abilitado saindo pela eth5, como pode ver mesmo testando nevegação, ftp, ssh não gerou nenhum pacote.
Anexo 23058
minha ideia é usar esta regra juntamente com hotspot para fazer a identificação.
só lembrando, a interface esta zerada dei um system reset-configuration antes de começar os testes e só tem estas duas regras no firewall, as maquinas conectadas na eth navegam normalmente, outro detalhe uso MK 4.17 numa 750g que comprei só para testes.
se puder me ajudar desde ja agradeço.
-
Re: Gerar LOG de conexoes.
Citação:
Postado originalmente por
mascaraapj
Estamos vivendo em uma era que praticamente tudo é digital.
Nao vivemos sem computador.
Assim como existe crime na vida real, existem tambem os crimes virtuais.
Que são os delitos praticados através da internet que podem ser enquadrados no Código Penal Brasileiro e os infratores estão sujeitos às penas previstas na Lei.
Uma forma de rastrear e chegar ao criminoso é atraves do seu IP.
Acontece que muitos provedores usam NAT, o que dificulta a indentificacao dos criminosos virtuais.
Alguns provedores fazem uso do Relatorio do Squid, gerando um relatorio de cada site que o cliente acessou.... alem de poder ser considerado uma pratica contra a lei (ja que esta invandindo a privacidade do cliente), ainda tem a questao de nao ter relatorio de tudo... e as conexoes via ssh, telnet, dentre varias outras?
Mas e agora?
Como farei para indentificar o cliente caso seja requisitado pela Justiça?
A melhor forma para quem usa NAT é guardando todo os Logs de conexao do cliente com a Internet.
Vamos la:
1. configurar o Firewall do mk para gerar os Logs:
Esteja certo de colocar a Interface interna/rede.
Imagem da configuracao do firewall:
Anexo 23018
2. configurar o MK para enviar os logs remotamente:
Esteja certo de colocar o IP correto do PC que ira receber os logs
Imagem:
Anexo 23019
3. criar a Regra do log para ser enviado:
imagem:
Anexo 23020
4. Faça o Donwload do Mikrotik Daemon no pc que ira receber os logs
http://www.mikrotik.com/download/MT_Syslog.exe
Se tudo correu bem, vc nao precisara fazer nenhuma configuracao adicional...
basta abrir o syslog que automaticamente ira receber os logs
Esteja certo que o Syslog esta desbloqueado no firewall do windows
imagem:
Anexo 23021
Bom, espero ter ajudado.
Obs: se a dica foi boa, nao esquece de agradecer (basta clicar na estrilinha logo abaixo), ueshueshes
Fiz tudo como descreveu porem não recebi nada nem uma informação no programa.
-
Re: Gerar LOG de conexoes.
Andrio parabens pelo post, funcionou blz aqui pra mim, agora tenho as mac de quem está conectado legal, fico muito grato por isso, eu uso ppoe com ip dinamico, deixa eu ver se isso mesmo, eu vou passar a ter todas as mac dos usuarios que conectaram nesse horario seria isso, pois o usuario ele não cataloga, outro detalhe onde ele salva essa informação e por quanto tempo fica!
Fico muito grato pela sua enorme contribuição!
Muito grato pelo mesmo pela sua grande força!
Um forte abraço!
-
Re: Gerar LOG de conexoes.
Coloca essa regra antes da regra do NAT masquerade
Citação:
Postado originalmente por
hotel
Ola Amigo, parabens pela iniciativa, muito bom seu post.
este seu post me deu uma ideia, temos aqui uma central de reservas e a galera esta abusando da internet, não to a fim de instalar squid nem algo deste tipo, nos hoteis temos o sistema isgi que gera estes log's mas não quero comprar um sistema só para colocar aqui.
então assim que vi seu post fui pra bancada fazer testes porem não consegui gerar nenhum informação acontece que ele não passa nenhum pacote pela regra criada, o que posso ter feito de errado?
meu senario de testes é adsl entrando pela ether1 nat abilitado saindo pela eth5, como pode ver mesmo testando nevegação, ftp, ssh não gerou nenhum pacote.
Anexo 23058
minha ideia é usar esta regra juntamente com hotspot para fazer a identificação.
só lembrando, a interface esta zerada dei um system reset-configuration antes de começar os testes e só tem estas duas regras no firewall, as maquinas conectadas na eth navegam normalmente, outro detalhe uso MK 4.17 numa 750g que comprei só para testes.
se puder me ajudar desde ja agradeço.
-
Re: Gerar LOG de conexoes.
Se vc usa autenticacao (hotspot ou ppoe) com ip dinamico
te aconselho a guardar os logs da autenticacao tbm... pois ai com o log da autenticacao vc sabera quem estava usando determinado IP
e com os logs da conexao, vc sabera se ele acessou aquele site em questao.
Citação:
Postado originalmente por
adepad
Andrio parabens pelo post, funcionou blz aqui pra mim, agora tenho as mac de quem está conectado legal, fico muito grato por isso, eu uso ppoe com ip dinamico, deixa eu ver se isso mesmo, eu vou passar a ter todas as mac dos usuarios que conectaram nesse horario seria isso, pois o usuario ele não cataloga, outro detalhe onde ele salva essa informação e por quanto tempo fica!
Fico muito grato pela sua enorme contribuição!
Muito grato pelo mesmo pela sua grande força!
Um forte abraço!
-
Re: Gerar LOG de conexoes.
Citação:
Postado originalmente por
RogerBoscatto
Fiz tudo como descreveu porem não recebi nada nem uma informação no programa.
Alguma coisa foi feita errada
poderia enviar print das suas configuracoes?
-
Re: Gerar LOG de conexoes.
Ola, desculpe eu lhe importunar, mas se não for incomodo e puder me ajudar agradeço.
notei que sua regra:
/ip firewall nat
add action=log chain=forward disabled=yes log-prefix=LogRede in-interface=REDE
cria como desabilitada, é assim mesmo, de qualquer forma tentei das duas formas habilitando e deixando desabilitada.
coloquei abaixo as regras que adicionei a RB depois de rodar o comando system reset-configuration no-default=yes
/ip dhcp-client
add add-default-route=yes comment="" default-route-distance=0 disabled=no \
interface=ether1 use-peer-dns=yes use-peer-ntp=yes
/ip address
add address=192.168.0.1/24 broadcast=192.168.0.255 comment="" disabled=no \
interface=ether5 network=192.168.0.0
/ip firewall nat
add action=log chain=forward comment="" disabled=no in-interface=ether5 \
log-prefix=LogRede
add action=masquerade chain=srcnat comment="" disabled=no out-interface=\
ether1
/system logging action
add bsd-syslog=no name=remoto remote=192.168.0.254:514 src-address=0.0.0.0 \
syslog-facility=daemon syslog-severity=auto target=remote
/system logging
add action=remoto disabled=no prefix="" topics=firewall
segui sua orientação coloquei a regra antes do mascarade mas não adiantou. não passa nenhum pacote pela regra.
-
Re: Gerar LOG de conexoes.
A regra esta quase certa, mas tem 2 erros:
- a regra tem que estar habilitada
- a interface selecionada é da rede interna, clientes... (conforme eu disse la em cima)
Citação:
Postado originalmente por
hotel
Ola, desculpe eu lhe importunar, mas se não for incomodo e puder me ajudar agradeço.
notei que sua regra:
/ip firewall nat
add action=log chain=forward disabled=yes log-prefix=LogRede in-interface=REDE
cria como desabilitada, é assim mesmo, de qualquer forma tentei das duas formas habilitando e deixando desabilitada.
coloquei abaixo as regras que adicionei a RB depois de rodar o comando system reset-configuration no-default=yes
/ip dhcp-client
add add-default-route=yes comment="" default-route-distance=0 disabled=no \
interface=ether1 use-peer-dns=yes use-peer-ntp=yes
/ip address
add address=192.168.0.1/24 broadcast=192.168.0.255 comment="" disabled=no \
interface=ether5 network=192.168.0.0
/ip firewall nat
add action=log chain=forward comment="" disabled=no in-interface=ether5 \
log-prefix=LogRede
add action=masquerade chain=srcnat comment="" disabled=no out-interface=\
ether1
/system logging action
add bsd-syslog=no name=remoto remote=192.168.0.254:514 src-address=0.0.0.0 \
syslog-facility=daemon syslog-severity=auto target=remote
/system logging
add action=remoto disabled=no prefix="" topics=firewall
segui sua orientação coloquei a regra antes do mascarade mas não adiantou. não passa nenhum pacote pela regra.
-
Re: Gerar LOG de conexoes.
Ótimo post Andrio, parabéns!
Só uma pequena observação: A regra de NAT aqui só funcionou com a chain=dstnat e não forward como no texto, e vc deixou ela como disabled tbm. No mais, funcionou perfeito, inclusive usando outra porta e emulando o MT_Syslog pelo wine no Ubuntu.
Ah, outra coisa: Pra quem quer só guardar os logs de autenticação do Hotspot (MAC, IP, data, hora, etc), seleciona "hotspot" como topic da Rule em /system logging.
-
Re: Gerar LOG de conexoes.
Citação:
Postado originalmente por
RockBells
Ótimo post Andrio, parabéns!
Só uma pequena observação: A regra de NAT aqui só funcionou com a chain=dstnat e não forward como no texto, e vc deixou ela como disabled tbm. No mais, funcionou perfeito, inclusive usando outra porta e emulando o MT_Syslog pelo wine no Ubuntu.
Ah, outra coisa: Pra quem quer só guardar os logs de autenticação do Hotspot (MAC, IP, data, hora, etc), seleciona "hotspot" como topic da Rule em /system logging.
Opa, obrigado pela observacao...
essas regras eu ja havia testado a muitoooo tempo atras.
na epoca que usava nat.
ai, quando esse assunto veio ao forum, eu criei as regras rapido para testar.
e acabei dando export das regras e nao observei que estava desativada.
bom, alterei as regras la em cima para ficar melhor.
do nat, passei para o filter
e ativei elas
-
Re: Gerar LOG de conexoes.
Caro amigo, meu parabéns pelo post, fiz aqui e funcionou 100%
Mas agora quando eu abro o log do mikrotik, ele fica aparecendo o log de conecçoes, assim nao teria como o log de conecçoes aparecer somente no syslog?
desde ja agradeço
-
Re: Gerar LOG de conexoes.
Citação:
Postado originalmente por
Leonardo
Caro amigo, meu parabéns pelo post, fiz aqui e funcionou 100%
Mas agora quando eu abro o log do mikrotik, ele fica aparecendo o log de conecçoes, assim nao teria como o log de conecçoes aparecer somente no syslog?
desde ja agradeço
ele fica aparecendo la, mas nao é guardado la no mk
nao conheco nenhuma forma de fazer aparecer somente no syslog
-
Re: Gerar LOG de conexoes.
Valeu pelas dicas esta funcionando corretamente.
O unico problema é o tamanho dos log's em um dia com 22 usuarios conectados gerou um arquivo de 504M.
Se bem que tambem com os HD's que temos hoje um de 500Gb da para armazenas informações por uns 3 anos.
um grande abraço, e mais uma vez parabens pela iniciativa.
-
Re: Gerar LOG de conexoes.
Alem de termos HD gigantescos
ainda temos como compactar os logs
experimente usar o o kgb ou o 7zip
conseguira diminuir bastante o tamanho do arquivo
-
Re: Gerar LOG de conexoes.
Eu consegui fazer funcionar só não sei como salvar os logs e tambem não consegui entende-los
Alguem poderia me dar uma ajuda nisso.
-
Re: Gerar LOG de conexoes.
Sim obrigado e muito obrigado por sua contribuição ela e muito importante para fortalecimento de nossas empresas.
Tinha Colocado a regra em NAT não funcionou agora coloquei em Filter Rules funcionou, porem so recebo os log da minha conexão Hostpost, ou dos IPXMAC dos meus clientes PPoE não estou recebendo poderia me dar uma dica.
-
Re: Gerar LOG de conexoes.
Respondendo minha própria pergunta, adicionei uma nova regra em Filter Rules ao inves de selecionar a intreface de rede selecionei a faixa de ip que queria gerar os los, na hora começou a enviar os mesmos.
-
Re: Gerar LOG de conexoes.
Citação:
Postado originalmente por
RogerBoscatto
Respondendo minha própria pergunta, adicionei uma nova regra em Filter Rules ao inves de selecionar a intreface de rede selecionei a faixa de ip que queria gerar os los, na hora começou a enviar os mesmos.
Parabens, é assim mesmo.
efetuando os testes com logica se consegue fazer o que quer...
de qualquer forma, uma dica, caso tenha feito o contrario...
ao colocar a faixa, coloque ela em src-address... pois ira gerar log do é enviado do cliente para a internet... gerando requisicao.
-
Re: Gerar LOG de conexoes.
Citação:
Postado originalmente por
mascaraapj
Parabens, é assim mesmo.
efetuando os testes com logica se consegue fazer o que quer...
de qualquer forma, uma dica, caso tenha feito o contrario...
ao colocar a faixa, coloque ela em src-address... pois ira gerar log do é enviado do cliente para a internet... gerando requisicao.
Fiz isso mesmo, muito obrigado, caso esteja disponível gostaria de uma ajuda com balanceamento de carga tenho dois link e trez formas de autenticação, uma via PPPoE que quero que sai por um link e as outras duas IPxMAC + Hostpost que gostaria que sai se por outro link, o mais incrível que tudo estava funcionando, depois que contratei os serviços da Webmicrotik parou de funcionar fica tudo em um link só.
-
Re: Gerar LOG de conexoes.
Boa tarde marcaraapj
Testei suas configs e ficou realmente legal, mas tenho alguns comentarios, percebi que o arquivo tmplog.log fica "guardando os logs" que são enviados pele mk, percebo olhando ele um tempo que seu tamanho fica alterando pra mais e menos, ex: agora ele tem 10.550 kb nesta hora 14:29(06/06/11) - - - > e agora ele tem 8.252 kb nesta hora 15:45(06/06/11) ou seja mais de uma hora depois ele fez foi diminuir o tamanho e não passa disso, apesar que no mt syslog consigo ver o log desde ontem quando comecei a gravar remotamente, outro detalhe como eu poderia fazer um backp dos dados sendo que somente consigo ver todos os logs desde o inicio somente dentro do mtsyslog ?
Tipo quando abro o arquivo tmplog.log só vejo lá o logs de poucas horas atrás ?
Obrigado ai pelas dicas
ps: A ideia é armazenar todos os logs em um hd especificamente pra isto. Estou pensando em gravar uma copia de segurança naqueles dvds DL tambem.
valeu
-
Re: Gerar LOG de conexoes.
Sera que mandando uma RB 750 enviar os log, a CPU aguenta o trafego, não seria forçar muinto a mesma. ela tem 50 a 60 clientes simultaneo
-
Re: Gerar LOG de conexoes.
Bom dia a todos
Testei mais um dia inteiro e notei outro problema em potencial o micro que configurei pra receber os logs está ficando sobre carregado ao tentar abrir o mtsyslog.
É um micro com hd de 500 gb, 2 gigas de ram, Dual core com windows xp e ele simplesmente trava ao tentar acessar os logs de dentro do mtsyslog isto em 2 dias com 200 clientes e uma média de 100 simultaneo, imagina uma semana, um mês e não acho que melhorar o micro va resolver já que o volume dos logs só aumenta.
Se alguem tiver alguma informação a este respeito compartilhe aqui.
Uma solução linux provavelmente ajudaria.
Valeu
-
Re: Gerar LOG de conexoes.
Citação:
Postado originalmente por
jeanfrank
Boa tarde marcaraapj
Testei suas configs e ficou realmente legal, mas tenho alguns comentarios, percebi que o arquivo tmplog.log fica "guardando os logs" que são enviados pele mk, percebo olhando ele um tempo que seu tamanho fica alterando pra mais e menos, ex: agora ele tem 10.550 kb nesta hora 14:29(06/06/11) - - - > e agora ele tem 8.252 kb nesta hora 15:45(06/06/11) ou seja mais de uma hora depois ele fez foi diminuir o tamanho e não passa disso, apesar que no mt syslog consigo ver o log desde ontem quando comecei a gravar remotamente, outro detalhe como eu poderia fazer um backp dos dados sendo que somente consigo ver todos os logs desde o inicio somente dentro do mtsyslog ?
Tipo quando abro o arquivo tmplog.log só vejo lá o logs de poucas horas atrás ?
Obrigado ai pelas dicas
ps: A ideia é armazenar todos os logs em um hd especificamente pra isto. Estou pensando em gravar uma copia de segurança naqueles dvds DL tambem.
valeu
Sei que ele fica variando sim, pois armazena um arquivo temporario para depois armazenar no definitivo.
se notar, ao abrir o mtsyslog, ele mostra todos os logs
-
Re: Gerar LOG de conexoes.
Citação:
Postado originalmente por
jeanfrank
Bom dia a todos
Testei mais um dia inteiro e notei outro problema em potencial o micro que configurei pra receber os logs está ficando sobre carregado ao tentar abrir o mtsyslog.
É um micro com hd de 500 gb, 2 gigas de ram, Dual core com windows xp e ele simplesmente trava ao tentar acessar os logs de dentro do mtsyslog isto em 2 dias com 200 clientes e uma média de 100 simultaneo, imagina uma semana, um mês e não acho que melhorar o micro va resolver já que o volume dos logs só aumenta.
Se alguem tiver alguma informação a este respeito compartilhe aqui.
Uma solução linux provavelmente ajudaria.
Valeu
creio que seja devido a quantidade de log.
isso acontece ate mesmo no squid, dependendo da quantidade de log.
pois ele vai ter que abrir o txt do log inteiro e ler linha por linha para poder te apresentar
vc pode seguir politicas de log
a cada 2, 3 dias ou 1 semana por exemplo, guardar uma copia do log em uma pasta separada e apagar o log do syslog
-
Re: Gerar LOG de conexoes.
Prezados amigos tenho um Debian na minha rede e gostaria de usar ele para receber os Logs gerados pelo MK ja que o mesmo tem 3 HDs e só utilizo 2 deixaria esse 3º HD somente para receber os Logs, mas como devo proceder pro Debian guardar esses logs ? o devo instalar e como instalar, grato, amo todos vcs...
-
Re: Gerar LOG de conexoes.
Olá amigos, coloquei este script em produçao, mas o processamento da minha rb 450g foi nas alturas chegando a 100% com media de 70 online
dai tive que desativar a regra
Será que fiz algo de errado?
Em voces deu isso tbm?
Obrigado
-
Re: Gerar LOG de conexoes.
Caros colegas. Vou fazer uma pergunta bem de ignorante, me desculpem, mas como se "lê" aquela linha toda? Alguns campos são óbvios como mac, ip do cliente, gateway e tal.. Mas e as outras? Tem alguma em que é o site que o cliente acessa?
Valeu pela força..
