Fazer log de acesso pelo mikrotik - para os mestres em MK!

**byosni** · 02-10-2009, 11:53

Olá, estou com duvidas aqui e ja procurei na net e não to conseguindo encontrar, olha tenho um servidor mikrotik com 2 links dedicados nele, não utilizo proxy e nem web-proxy. Gostaria de saber se tem uma maneira de fazer o log dos clientes que estão no nat. Queria fazer assim um servidor dedicado a capiturar tudo que passa nos gateways da internet e salvar as páginas visitadas em um arquivo. Existe algum programa que faz isto? só sei fazer pelo web-proxy do mikrotik. Mas ja disse não tenho proxy.

Obrigado...

até mais...

**Giovani.couto** · 04-10-2009, 21:13

Conheço uma maneira de logar tudo que sai do cliente e tudo que vem para o cliente!

Talvez se você especificar a porta possa diminuir o tamanho do arquivo diário !!!

Eu utilizou um servidor de log externo então vou colocar as regras e você adapta como quiser !!!

Dessa maneira não vai dizer qual site o camarada acessou, mas vai dizer qual ip e porta ele entrou e qual ip e porta esta indo para ele!!

/ip firewall filter
add action=log chain=forward comment="" disabled=yes dst-address=176.25.0.0/20 log-prefix=log
add action=log chain=forward comment="" disabled=yes log-prefix=log2 src-address=176.25.0.0/20

/system logging

add action=remote disabled=yes prefix=log topics=!debug,!web-proxy,!system
add action=remote disabled=yes prefix=log2 topics=!debug,!web-proxy,!system

/system logging action

set remote bsd-syslog=no name=remote remote=173.0.0.5:514 src-address=0.0.0.0 syslog-facility=daemon syslog-severity=auto target=remote

**byosni** · 06-10-2009, 11:30

aop amigo deu certinho sim, e ainda usei o Dude co um syslog. Ficou muito bom mesmo... restringi para monitorar somente as portas 80,443,563 que acho que são as mais importantes. Certo.

até mais..

Postado originalmente por Giovani.couto

Conheço uma maneira de logar tudo que sai do cliente e tudo que vem para o cliente!

Talvez se você especificar a porta possa diminuir o tamanho do arquivo diário !!!

Eu utilizou um servidor de log externo então vou colocar as regras e você adapta como quiser !!!

Dessa maneira não vai dizer qual site o camarada acessou, mas vai dizer qual ip e porta ele entrou e qual ip e porta esta indo para ele!!

/ip firewall filter
add action=log chain=forward comment="" disabled=yes dst-address=176.25.0.0/20 log-prefix=log
add action=log chain=forward comment="" disabled=yes log-prefix=log2 src-address=176.25.0.0/20

/system logging

add action=remote disabled=yes prefix=log topics=!debug,!web-proxy,!system
add action=remote disabled=yes prefix=log2 topics=!debug,!web-proxy,!system

/system logging action

set remote bsd-syslog=no name=remote remote=173.0.0.5:514 src-address=0.0.0.0 syslog-facility=daemon syslog-severity=auto target=remote

**Giovani.couto** · 06-10-2009, 13:24

Postado originalmente por byosni

aop amigo deu certinho sim, e ainda usei o Dude co um syslog. Ficou muito bom mesmo... restringi para monitorar somente as portas 80,443,563 que acho que são as mais importantes. Certo.

até mais..

Que bom que deu certo !!!

Mas aproveitando o assunto!

Como você stá amarzenando seus logs ?

Tudo num arquivo só ? ou está dividinho por cliente !

Eu pergunto, pois anida não consegui criar um script onde ele peque e separes os logs por ip automaticamente !

Abraços

**Raniel** · 08-10-2009, 09:41

O qu voce usa aí? PPPoE, hotspot...?

**byosni** · 08-10-2009, 20:10

olha eu to começando a fazer os logs, mas vai ser tudo em um arqiuvo sim, acho que aqui pra mim vai dar uns 4GB por 24 horas de log. Ainda não pensei o certo o que vou fazer...

CORRIGINDO ::::quando eu disse que iria fazer somente os logs daquelas portas, não vou fazer não, vou fazer de tudo porque se algum hacker em minha rede acessar o servidor do governo pela porta telnet não vou ter como provar ou descobrir que foi ele. Por isto vou fazer log de tudo. Então nem sei o tamanho que isto vai dar por dia......

Postado originalmente por Giovani.couto

Que bom que deu certo !!!

Mas aproveitando o assunto!

Como você stá amarzenando seus logs ?

Tudo num arquivo só ? ou está dividinho por cliente !

Eu pergunto, pois anida não consegui criar um script onde ele peque e separes os logs por ip automaticamente !

Abraços

**byosni** · 08-10-2009, 20:11

nem um nem outro....

Postado originalmente por Raniel

O qu voce usa aí? PPPoE, hotspot...?

**Giovani.couto** · 09-10-2009, 21:18

Postado originalmente por Raniel

O qu voce usa aí? PPPoE, hotspot...?

Olá Raniel!

pppoe !

tem alguma ideia ?

**Giovani.couto** · 09-10-2009, 21:19

Postado originalmente por byosni

olha eu to começando a fazer os logs, mas vai ser tudo em um arqiuvo sim, acho que aqui pra mim vai dar uns 4GB por 24 horas de log. Ainda não pensei o certo o que vou fazer...

CORRIGINDO ::::quando eu disse que iria fazer somente os logs daquelas portas, não vou fazer não, vou fazer de tudo porque se algum hacker em minha rede acessar o servidor do governo pela porta telnet não vou ter como provar ou descobrir que foi ele. Por isto vou fazer log de tudo. Então nem sei o tamanho que isto vai dar por dia......

BLZ então!!!
abraços

**mdcsp** · 11-10-2009, 23:53

Postado originalmente por byosni

nem um nem outro....

Irmao, aqui soh uso ip+mac.(e nao uso dude nao)

Sera que esta regra sobre log serve pra mim ?

Se sim, please, posta pra gente

Grato

**Gustavinho** · 13-10-2009, 00:28

Pessoal, tenho usado o Syslog aqui pra coleta de informações de acesso.

No entanto ele pega tudo que vem do web proxy do MK........

E no caso de usar o Thunder em paralelo, teria como?

**Giovani.couto** · 13-10-2009, 16:35

Postado originalmente por gustavinho69

Pessoal, tenho usado o Syslog aqui pra coleta de informações de acesso.

No entanto ele pega tudo que vem do web proxy do MK........

E no caso de usar o Thunder em paralelo, teria como?

Não entendi seu problema!

O que você quer que aconteça?

**Gustavinho** · 13-10-2009, 18:18

O que eu gostaria é o seguinte.....ter o Proxylizer instalado em uma maquina separada.

Como ele trabalha coletando os dados do Web-Proxy do MK, queria saber se tem a possibilidade de fazer com que ele trabalhe coletando os dados do Proxy do thunder.

Pois com o thunder em paralelo não se usa o proxy do MK correto:?

vlww

**FernandodeDeus** · 13-10-2009, 18:24

vc pode colocar o proxy do mk em parent ai vc deixa o p´roxy do mk ativado só para pegar os logs e direciona para o thunder do web proxy redeirecionando no ip e porta.

**pedemesa** · 13-10-2009, 20:12

Postado originalmente por Giovani.couto

Conheço uma maneira de logar tudo que sai do cliente e tudo que vem para o cliente!

Talvez se você especificar a porta possa diminuir o tamanho do arquivo diário !!!

Eu utilizou um servidor de log externo então vou colocar as regras e você adapta como quiser !!!

Dessa maneira não vai dizer qual site o camarada acessou, mas vai dizer qual ip e porta ele entrou e qual ip e porta esta indo para ele!!

/ip firewall filter
add action=log chain=forward comment="" disabled=yes dst-address=176.25.0.0/20 log-prefix=log
add action=log chain=forward comment="" disabled=yes log-prefix=log2 src-address=176.25.0.0/20

/system logging

add action=remote disabled=yes prefix=log topics=!debug,!web-proxy,!system
add action=remote disabled=yes prefix=log2 topics=!debug,!web-proxy,!system

/system logging action

set remote bsd-syslog=no name=remote remote=173.0.0.5:514 src-address=0.0.0.0 syslog-facility=daemon syslog-severity=auto target=remote

Show de bom bola amigo!
Vou testar aqui, mas acho que vai funcionar tranquilo! Estou começando a entender bem o negócios... hehe

**Gustavinho** · 14-10-2009, 00:48

Postado originalmente por FernandodeDeus

vc pode colocar o proxy do mk em parent ai vc deixa o p´roxy do mk ativado só para pegar os logs e direciona para o thunder do web proxy redeirecionando no ip e porta.

Boa fernando, obrigado...imaginei ter que fazer algo assim no MK.

Lembro de ter visto alguem fazer algo assim em um outro post, mais agora nem me lembro qual.

Ja tem alguem usando algo parecido por aqui???

vlw galera.

**byosni** · 14-10-2009, 10:59

amigo so complementando um detalhe ai, por exemplo vc pega tudo que vem do web-proxy, vc so faz o redirecionamento da porta 80 para o proxy então vc vai saber por inde seus clientes estão andando, mas se um cliente de dentro da tua rede acessar um servidor do governo e pega dados sigilosos tudo isto usando a porta de telnet 23, como vc vai provar que é auque cliente que fez isto? então o certo seria vc fazer o log de todas as conexões da rede ou seja todas as portas terem um log. Eu fiz isto aqui, so que tenho um problema estou usando o syslog do the dude, acontece que ele ta gerando um trafego de 25 Mbits do servidor principal ao dude, em media tenho 600 clientes. Acho que meu arquivo de log vai dar uns 5GB por dia, mas vou saber tudo por onde meus clientes andam. O que você acha?

até mais...

Postado originalmente por gustavinho69

Pessoal, tenho usado o Syslog aqui pra coleta de informações de acesso.

No entanto ele pega tudo que vem do web proxy do MK........

E no caso de usar o Thunder em paralelo, teria como?

**Gustavinho** · 14-10-2009, 11:23

Postado originalmente por byosni

amigo so complementando um detalhe ai, por exemplo vc pega tudo que vem do web-proxy, vc so faz o redirecionamento da porta 80 para o proxy então vc vai saber por inde seus clientes estão andando, mas se um cliente de dentro da tua rede acessar um servidor do governo e pega dados sigilosos tudo isto usando a porta de telnet 23, como vc vai provar que é auque cliente que fez isto? então o certo seria vc fazer o log de todas as conexões da rede ou seja todas as portas terem um log. Eu fiz isto aqui, so que tenho um problema estou usando o syslog do the dude, acontece que ele ta gerando um trafego de 25 Mbits do servidor principal ao dude, em media tenho 600 clientes. Acho que meu arquivo de log vai dar uns 5GB por dia, mas vou saber tudo por onde meus clientes andam. O que você acha?

até mais...

Com certeza amigo....muito bem lembrado este ponto de vista seu....não é só através da 80 que pode se fazer besteira....e sim das outras tmbm....no entanto é viavel as principais mesmo.

Nuss 25 mb de trafego o dia todo?? hehehe joga o proxylizar ae tmbm...assim ele compacta mais o BD de logs.

Abração...

**Giovani.couto** · 14-10-2009, 11:23

Postado originalmente por gustavinho69

O que eu gostaria é o seguinte.....ter o Proxylizer instalado em uma maquina separada.

Como ele trabalha coletando os dados do Web-Proxy do MK, queria saber se tem a possibilidade de fazer com que ele trabalhe coletando os dados do Proxy do thunder.

Pois com o thunder em paralelo não se usa o proxy do MK correto:?

vlww

Já usou o proxylizer ???

Eu aqui tentei usar a imagem vmware dele e também fiz a instalação na mão dele!

Mas na hora de gerar relatório nenhum dos dois funcionou!

**Gustavinho** · 14-10-2009, 11:29

Então eu só cheguei a instalar ele na mão, só que no virtual PC.

Mais nao cheguei a integrar ele com o MK não.

Mais agora estou precisando coloca-lo pra rodar, por questao de segurança.

Você chegou a configurar no MK o remote, pra mandar os logs pro IP dele?

Fazer log de acesso pelo mikrotik - para os mestres em MK!

Ferramentas de Tópicos

Fazer log de acesso pelo mikrotik - para os mestres em MK!