Налаштування збереження системних журналів Mikrotik RouterOS на карту пам'яті microSD або USB-накопичувач
- Системний журнал в RouterOS
- Як вставити картку пам'яті microSD або USB-накопичувача в Mikrotik
- Налаштування збереження журналів RouterOS на зовнішній диск
- Що далі?
- Відеокурс «Налаштування обладнання MikroTik» (аналог MTCNA)
В одній з попередній публікацій, присвячених уразливості RouterOS і підвищенню безпеки , Я згадував про логах. Справа в тому, що за замовчуванням всі логи роботи RouterOS зберігаються безпосередньо в оперативній пам'яті, як підсумок, в разі перезавантаження все логи очищаються, точно так же, як і в звичайних домашніх або SOHO-маршрутизаторах.
RouterOS - система не зовсім звичайна, вона надає системному адміністратору можливість вивантаження логів, як на зовнішній накопичувач, так і на зовнішній сервер. Для домашнього користувача вивантаження логів на диск не несе особливої користі, а ось для корпоративної мережі з важливими даними, наявність балки може дозволити встановити причину збою або проблеми, особливо в світлі останньої уразливості RouterOS 6.29-6.42.
Системний журнал в RouterOS
Сама по собі RouterOS здатна збирати і виводити різну системну інформацію, починаючи з звичайних дій в системі і закінчуючи debug-балками. Системний журнал (log) при цьому може зберігатися, як в оперативній пам'яті пристрою (memory), так і на внутрішньому диску (disk). Крім цього, журнал можна відправляти по e-mail або безпосередньо на віддалений syslog-сервер.
Налаштування логів Mikrotik знаходиться в підміню System - Logging. За замовчуванням, системний журнал налаштований з наступними параметрами:
- info: memory
- error: memory
- warning: memory
- critical: echo
Повну документацію по Logging ви можете знайти на офіційному Mikrotik Wiki , Ми ж розглянемо тільки деякі цікаві аспекти. У тій же документації ви знайдете все «топіки» і їх опис. Самих топіків величезна кількість, RouterOS дозволяє вивантажити практично будь-яку зневадження. Наприклад, в логи можна вивантажувати все DNS-запити або всі журнали wireless.
Найбільш цікаві категорії:
- account - зберігає логи авторизації як для PPP, так і для входу в панель управління (webfig, winbox) із зазначенням дати, часу і IP. Крім цього сюди ж пишуться логи відключень.
- firewall - зберігає логи спрацьовування правил Firewall, для яких встановлена опція запису в лог (action = log). Наприклад, вище стандартного правила «input drop» я використовую додаткове правило, яке забороняє «нестандартний» порт 8291. Таким чином, в логах ви відразу будете бачити всі спроби звернення до порту winbox з WAN (цілеспрямоване сканування портів або спроба підключення);
- interface - логи всіх змін інтерфейсів;
- script - логи скриптів;
Параметр «Action: memory» говорить про те, що журнал зберігається тільки в оперативній пам'яті - при відключенні електроживлення або перезавантаження лог буде очищений.
Більшість сучасних RouterBOARD мають всього 16 МБ вбудованої пам'яті, з яких частина вже зайнята системою, так що в кінцевому підсумку користувачеві доступно ще менше пам'яті.
Для зберігання логів цього більш, ніж достатньо, якби не одне але, яке поставить хрест на такій ідеї. Справа в тому, що Flash-пам'ять має певний ресурс - кількість циклів перезапису. Залежно від сценаріїв та конфігурації програмного забезпечення самого журналу, логи можуть писатися постійно, байт за байтом зношуючи ресурс чіпа. Як ви розумієте, замінити флеш-пам'ять самостійно не можна, цю процедуру може виконати тільки фахівець при наявності необхідного обладнання, програматора і дампа флешки. Але і це ще не все, після установки нового модуля пам'яті, ви отримаєте нульовий рівень ліцензії RouterOS.
Інша справа карта пам'яті microSD або USB-накопичувач - змінюються вони без проблем, мають вартість менше $ 10 і куди більший ресурс перезапису.
Так, порт USB присутня не в усіх пристрою, не кажучи вже про слоті для карт пам'яті microSD. Якщо у вас немає ні першого, ні другого, найбільш оптимальний варіант - відправка логів на віддалений сервер (actions - remote).
Ми ж розглянемо процес вивантаження логів на диск на прикладі Mikrotik hEX (RB750Gr3), який я використовую в якості VPN-сервера на одному з об'єктів.
hEX примітний тим, що у нього є слот для карт пам'яті microSD, який можна використовувати, в тому числі, для Dude.
Як вставити картку пам'яті microSD або USB-накопичувача в Mikrotik
Для зберігання логів я використовую перевірені накопичувачі SanDisk UHS-I Ultra (Class 10) на 16 ГБ. Втім, підійде і будь-яка інша карта пам'яті, яка буде у вас під руками, навіть «Class 4». Для балок це взагалі не має значення, за великим рахунком для них вистачило б і пропускної здатності інтерфейсу RS232. При символічної різниці в ціні, особисто я не бачу сенсу брати більш просту карту.
Слот під карту пам'яті у hEX знаходиться на передній панелі, прямо під індикатором PWR.
Як вставити картку здійснюється контактами вгору, сама карта буде трохи випирати з пристрою, так і повинно бути.
Після установки в підміню System - Disks у вас з'явиться новий запис «disk1». Те ж саме стосується і для USB-накопичувачів - ви можете налаштувати вивантаження системних логів на флешку слідуючи цій інструкції.
Для того, щоб відформатувати накопичувач, заздалегідь його необхідно витягти за допомогою кнопки «Eject Drive», і тільки потім виконати команду «Format Drive». Доступна файлова система fat32 або ext3, перша зручніше для перегляду на ПК під управлінням Windows, самі логи в форматі TXT.
Після форматування диск буде смонтірвоан в системі автоматично.
Налаштування збереження журналів RouterOS на зовнішній диск
Після того, як диск встановлений, спершу необхідно «навчити» RouterOS вивантажувати журнали на зовнішній накопичувач.
Заходимо в підміню System - Logging, відкриваємо вкладку «Actions» (дії). Створюємо нову дію:
- Name: sd
- Type: disk
- File Name: disk1 / log
Інші параметри можна залишити як є. «Lines Per File» встановлює обмеження на кількість рядків для файлу логів, параметр «File Count» означає загальну кількість файлів. За замовчуванням, це 2 файли по 1000 рядків. При заповненні першого файлу, система буде писати в другій файл і так далі.
В імені файлу використовуємо формат «disk1 / log», де «disk1» це назва накопичувача (name) з розділу System - Disks, а «log» це префікс імені файлу. При бажанні, ви можете писати логи в підпапку. Для того, щоб вивантажувати логи в підпапку, її необхідно заздалегідь створити, наприклад, перетягнувши порожню папку з потрібним назвою в disk1 (розділ «Files») за допомогою звичайного Drag'n'Drop.
Більш того, в Mikrotik можна налаштувати декілька файлів, тобто писати різні типи повідомлень в різні логи.
Зверніть увагу, в назві actions можна використовувати тільки латинські букви і цифри. Якщо у вас вивантаження в один лог, можна створити дію з назвою «sd» або «usb». Якщо ж дій кілька, як у мене, можна в назвах використовувати цифру 2 як заміну слова «to».
Повертаємося на першу вкладку «Rules» і міняємо «Action» для кожної категорії повідомлення по своїх потребах. У мене категорій кілька, файли журналів роздільні. Накопичувач на 16 ГБ має величезний ресурс перезапису, так що велика кількість циклів перезапису не буде проблемою.
При активації деяких типів повідомлень, наприклад «ppp», враховуйте, що вони можуть безперервно писати великі обсяги логів. Наприклад, l2tp може без проблем записати 2000 рядків всього за 10 хвилин. Ці логи корисні швидше для налагодження (debugging), коли ви шукаєте помилку, ніж для звичайного повсякденного використання.
Що далі?
Список бажано періодично оглядати на предмет критичних помилок і спроб отримання доступу до панелі управління. Самі журнали можна вивантажувати як з Winbox, так і відкривши доступ до накопичувача за допомогою SMB або FTP, хоча, чим менше активних сервісів - тим краще.
Звичайно, даний метод аж ніяк не захистить вас від несанкціонованого доступу і, якщо досвідчений зловмисник все ж потрапив в панель управління, він може очистити логи. Для всіх інших випадків, наявність балок, часто, здатне дати відповіді на багато питань. Якщо, звичайно ж, ви правильно налаштували логи і знаєте, що в них шукати.
Відеокурс «Налаштування обладнання MikroTik» (аналог MTCNA)
Вчіться працювати з MikroTik? Рекомендую відеокурс « Налаштування обладнання MikroTik ». В курсі розібрані всі теми з офіційною навчальної програми MTCNA і багато додаткового матеріалу. Курс поєднує теоретичну частину і практику - настройку маршрутизатора за технічним завданням. Консультації за завданнями курсу веде його автор Дмитро скоромні. Підійде і для першого знайомства з обладнанням MikroTik, і для систематизації знань досвідченим фахівцям.
Що далі?