Cấu Hình Mikrotik Gửi Log Về Server Rsyslog: Giám Sát Mạng Hiệu Quả

Bài viết này sẽ hướng dẫn bạn cách cấu hình router Mikrotik để gửi log về server rsyslog, một giải pháp mạnh mẽ để thu thập, xử lý và lưu trữ log từ nhiều nguồn khác nhau. Việc này giúp bạn dễ dàng theo dõi hoạt động mạng, phát hiện các vấn đề bảo mật và phân tích lưu lượng một cách hiệu quả. Chúng ta sẽ cùng tìm hiểu từng bước, từ cài đặt rsyslog trên server Linux, cấu hình Mikrotik để gửi log, đến việc sử dụng cơ sở dữ liệu để lưu trữ và truy vấn dữ liệu.

1. Tại Sao Cần Cấu Hình Mikrotik Gửi Log Về Server Rsyslog?

Việc thu thập và phân tích log từ các thiết bị mạng như Mikrotik là vô cùng quan trọng để đảm bảo an ninh và hiệu suất mạng. Dưới đây là một số lý do chính:

• Giám sát an ninh mạng: Phát hiện các hành vi xâm nhập, tấn công từ chối dịch vụ (DoS), hoặc các hoạt động đáng ngờ khác.
• Phân tích lưu lượng mạng: Xác định các ứng dụng, giao thức sử dụng nhiều băng thông, giúp tối ưu hóa hiệu suất mạng.
• Gỡ rối sự cố: Xác định nguyên nhân gây ra các sự cố mạng, giúp khắc phục nhanh chóng và hiệu quả.
• Tuân thủ quy định: Lưu trữ log theo yêu cầu của các quy định pháp luật về an ninh thông tin.

Rsyslog là một hệ thống quản lý log mã nguồn mở, mạnh mẽ và linh hoạt, cho phép bạn thu thập log từ nhiều nguồn khác nhau, xử lý chúng và lưu trữ vào nhiều định dạng khác nhau. Kết hợp Mikrotik và rsyslog là một giải pháp tuyệt vời để quản lý log tập trung và hiệu quả.

2. Cài Đặt và Cấu Hình Rsyslog Server Trên Linux

Đầu tiên, bạn cần cài đặt rsyslog trên một server Linux. Hầu hết các bản phân phối Linux hiện đại đều đã cài đặt sẵn rsyslog. Nếu chưa, bạn có thể cài đặt bằng lệnh sau (ví dụ trên Debian/Ubuntu):

sudo apt-get update
sudo apt-get install rsyslog

Sau khi cài đặt, bạn cần cấu hình rsyslog để nhận log từ Mikrotik. Mở file cấu hình rsyslog (thường là `/etc/rsyslog.conf` hoặc `/etc/rsyslog.d/50-default.conf`) và thêm các dòng sau:

# Cho phép nhận log qua UDP
$ModLoad imudp
$UDPServerRun 514

# Cho phép nhận log qua TCP (tùy chọn)
$ModLoad imtcp
$InputTCPServerRun 514

Đoạn cấu hình trên cho phép rsyslog nhận log qua cổng 514 (cổng mặc định cho syslog) bằng giao thức UDP và TCP. Bạn có thể chọn một trong hai giao thức tùy theo yêu cầu.

Tiếp theo, bạn cần cấu hình rsyslog để lưu trữ log từ Mikrotik vào một file riêng. Thêm các dòng sau vào file cấu hình:

if $fromhost-ip == '192.168.88.1' then /var/log/mikrotik.log
& ~ # Ngừng xử lý log này ở đây

Thay `'192.168.88.1'` bằng địa chỉ IP của router Mikrotik của bạn. Dòng `& ~` ngăn rsyslog tiếp tục xử lý log này sau khi đã lưu vào file `/var/log/mikrotik.log`.

Cuối cùng, khởi động lại rsyslog để áp dụng các thay đổi:

sudo systemctl restart rsyslog

3. Cấu Hình Mikrotik Gửi Log Về Server Rsyslog

Để cấu hình Mikrotik gửi log về server rsyslog, bạn thực hiện các bước sau:

1. Mở Winbox và kết nối đến router Mikrotik của bạn.
2. Vào menu `System` -> `Logging`.
3. Chuyển sang tab `Actions`.
4. Nhấn vào nút `Add New`.
5. Đặt tên cho action, ví dụ: `remote-syslog`.
6. Chọn `Target` là `remote`.
7. Nhập địa chỉ IP của rsyslog server vào ô `Remote Address`.
8. Để nguyên `Remote Port` là 514.
9. Chọn `Src. Address` là địa chỉ IP của router Mikrotik (tùy chọn).
10. Nhấn `OK`.
11. Chuyển sang tab `Rules`.
12. Nhấn vào nút `Add New`.
13. Chọn `Action` là `remote-syslog` (action bạn vừa tạo).
14. Chọn các `Topics` mà bạn muốn gửi log, ví dụ: `info, warning, error, critical`.
15. Đặt `Prefix` (tùy chọn).
16. Nhấn `OK`.

4. Kiểm Tra và Xác Minh

Sau khi cấu hình xong, bạn cần kiểm tra xem Mikrotik đã gửi log về server rsyslog thành công chưa. Kiểm tra bằng cách:

• Kiểm tra file `/var/log/mikrotik.log` trên server rsyslog. Bạn sẽ thấy các log từ Mikrotik được ghi vào đây.
• Sử dụng lệnh `tcpdump` hoặc `wireshark` trên server rsyslog để bắt gói tin UDP/TCP trên cổng 514 và xem nội dung log.

5. Lưu Trữ Log Vào Cơ Sở Dữ Liệu (Tùy Chọn)

Để phân tích log hiệu quả hơn, bạn có thể lưu trữ log vào cơ sở dữ liệu (ví dụ: MySQL, PostgreSQL). Bạn có thể sử dụng rsyslog để trực tiếp ghi log vào cơ sở dữ liệu hoặc sử dụng các công cụ khác như Logstash.

5.1. Cấu hình Rsyslog Ghi Log Vào MySQL

1. Cài đặt module `ommysql` cho rsyslog: `sudo apt-get install rsyslog-mysql`
2. Tạo database và user trong MySQL:

   CREATE DATABASE syslog;
   CREATE USER 'rsyslog'@'localhost' IDENTIFIED BY 'password';
   GRANT ALL ON syslog.* TO 'rsyslog'@'localhost';
   FLUSH PRIVILEGES;
   

3. Tạo bảng để lưu log (ví dụ):

   USE syslog;
   CREATE TABLE SystemEvents
   (
       ID int unsigned not null auto_increment primary key,
       Message text,
       Facility varchar(10),
       Priority varchar(10),
       Level int,
       DeviceReportedTime datetime,
       FromHost varchar(50)
   );
   

4. Cấu hình rsyslog (thêm vào `/etc/rsyslog.conf` hoặc file cấu hình riêng):

   $ModLoad ommysql
   *.* ommysql:localhost,syslog,rsyslog,password
   

6. Kết Luận

Việc cấu hình Mikrotik gửi log về server rsyslog là một bước quan trọng để đảm bảo an ninh và hiệu suất mạng. Với rsyslog, bạn có thể thu thập, xử lý và lưu trữ log một cách tập trung và hiệu quả, giúp bạn dễ dàng theo dõi và phân tích hoạt động mạng. Hy vọng bài viết này đã cung cấp cho bạn những thông tin hữu ích để cấu hình thành công.