Помогите с оповещением
-
reductor
- Сообщения: 5
- Зарегистрирован: 06 июл 2017, 11:15
Добрый день. Извиняюсь сразу за глупый наверно вопрос. Помогите настроить оповещение. Логика такова,за микротиком стоит пару устройств и настроен проброс портов на 4 порта. Задача заключается в том,чтобы мониторить подключения этих портов если кто то подключается к ним и отсылать оповещение на имэйл.
-
Vladimir22
- Сообщения: 561
- Зарегистрирован: 09 дек 2012, 17:12
пишите в лог, сработку правила проброса , а дальше парсите лог с завидной регулярностью.
думаю если лог можно сливать на SYSLOG, то любой мониторинг вам оповестит о приходе события
получите что то
_NAT_ - самостоятельно созданный префикс
так что по нему можно ловить событие.
может кто, из форумчан, подскажет как на самом микротике написать скрипт поиска такого префикса, и при нахождении, куда то отправлять ... на тот же мыльник .
думаю если лог можно сливать на SYSLOG, то любой мониторинг вам оповестит о приходе события
получите что то
Код: Выделить всё
15:53:37 firewall,info _NAT_= srcnat: in:(none) out:lte1, src-mac 5c:d9:98:49:
7, proto TCP (SYN), 10.10.30.22:15931->149.154.167.197:443, len 60_NAT_ - самостоятельно созданный префикс
так что по нему можно ловить событие.может кто, из форумчан, подскажет как на самом микротике написать скрипт поиска такого префикса, и при нахождении, куда то отправлять ... на тот же мыльник .
-
reductor
- Сообщения: 5
- Зарегистрирован: 06 июл 2017, 11:15
Знать бы теперь как это на микротике сделать
-
Vladimir22
- Сообщения: 561
- Зарегистрирован: 09 дек 2012, 17:12
тогда вам
https://www.forummikrotik.ru/viewforum.php?f=32 здесь писать.
ps направление - кажется понятно ... поиски , попытки - пробы
https://www.forummikrotik.ru/viewforum.php?f=32 здесь писать.
ps направление - кажется понятно ... поиски , попытки - пробы
-
podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Да тут вполне известная задача парсинга логов. Решалась в сети и не раз. Вот пример https://podarok66.livejournal.com/14211.html , вторая часть заметки...
Я даже и не сразу вспомнил, что уже делал подобное. Думаю, как переделать под себя, разберётесь?
Я даже и не сразу вспомнил, что уже делал подобное. Думаю, как переделать под себя, разберётесь?
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
reductor
- Сообщения: 5
- Зарегистрирован: 06 июл 2017, 11:15
Я в это новичок. Ничего не получается. Если у кого есть немного времени,буду благодарен с детальной помощью
-
reductor
- Сообщения: 5
- Зарегистрирован: 06 июл 2017, 11:15
Поставил настройках NAT этого правила галку вести лог и в логах при обращении на этот порт (8000) теперь пишется запись:
Oct/03/2017 16:22:28 firewall,info dstnat: in:ether2-isp-2 out:(none), src-mac 40:16:7e:36:0a:3e, proto TCP (SYN), 185.126.232.4:51525->185.126.232.8:8000, len 52
Как дальше сделать оповещение по этой записи?
Oct/03/2017 16:22:28 firewall,info dstnat: in:ether2-isp-2 out:(none), src-mac 40:16:7e:36:0a:3e, proto TCP (SYN), 185.126.232.4:51525->185.126.232.8:8000, len 52
Как дальше сделать оповещение по этой записи?
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
reductor писал(а):Поставил настройках NAT этого правила галку вести лог и в логах при обращении на этот порт (8000) теперь пишется запись:
Oct/03/2017 16:22:28 firewall,info dstnat: in:ether2-isp-2 out:(none), src-mac 40:16:7e:36:0a:3e, proto TCP (SYN), 185.126.232.4:51525->185.126.232.8:8000, len 52
Как дальше сделать оповещение по этой записи?
Вот честно, как будто Вы не читаете то что Вам пишут, или на другом языке общаетесь.
Вы создали тему, сразу же пользователь Vladimir22 Вам дал решение(алгоритм), а именно:
на данные правила включить логирование, дать им метку уникальную и уже думать
о второй под-задачи, это, как ловить/забирать логи и дальше делать аналитику их.
Проходит почти 2 недели, Вы только сейчас включили логирование правил в системный лог микротика,
хотя это включается одной галочкой, и не стали вникать вообще во всё остальное.
Теперь о Вашей задачи в целом: поймите, всё же микротик это роутер, а не система логирования, если честно не могу
представить, чтобы открывая порт наружу (то есть добровольно) и ещё сразу мониторить этот порт,
я не вижу смысла даже в таких действиях, так как адресация щас динамическая у многих, в логах ничего интересного не будет.
Также теперь со второй подзадачей, Вам тоже намекнули и я к ней тоже подхожу:
так как микротик не оперирует логами гибко, как то Вы хотите, то простой способ, это забрать/писать
логи на удалённый сервер (удалённый сервер логирование, можно использовать линукс). Так делают для разной аппаратуры,
для свичей и так далее. И уже на таком сервере, Вы находите по уникальной метки свои записи (которые Вас интересуют),
и уже пишете скрипты чтобы делать выжимку и отчёт или там графики и так далее....
В итоге: задача не тривиальная, и требующая и знаний и подхода. Даже при внедрении её
в каком-то отделе, скорее всего потребуется время, согласованность, стандартизация, и административно-технический ресурс.
-
Vladimir22
- Сообщения: 561
- Зарегистрирован: 09 дек 2012, 17:12
по минимуму . с такой задачей справится любая система мониторинга ;-)
например Cacti с плагином "CAMM"
поселить кактусы можно на любой виртуалке\одноплатнике \сетевом накопители \на при желании на роутере...
далее допилить плагин , может хоть SMS слать хоть в телеграмм (у меня так и сделано)
Задача реально не тривиальная . и в качестве решения - волшебного порошка не имеет .
надо обладать некоторыми навыками, что бы решить такую задачу .
например Cacti с плагином "CAMM"
поселить кактусы можно на любой виртуалке\одноплатнике \сетевом накопители \на при желании на роутере...
далее допилить плагин , может хоть SMS слать хоть в телеграмм (у меня так и сделано)
Задача реально не тривиальная . и в качестве решения - волшебного порошка не имеет .
надо обладать некоторыми навыками, что бы решить такую задачу .
-
mafijs
- Сообщения: 536
- Зарегистрирован: 03 сен 2017, 03:08
- Откуда: Marienburga
Возможный вариант :
Настроить Tools -> Email куда отправлять почту.
System -> Loging -> Actions - "+" New Loginc action - name "send" , action "email" ; Email "настроеный е-майл"
System -> Loging - Rules - "+" New Log Rule - topics "info" ; topics "firewall" , Prefix "_NAT_=" , action "send"
По такому принцыпу было сделано оповещение про "dude,critical *********: db failure: disk I/O error
Долго вместе боролись с этим "failurе" на rb3011 с програмистом, ловили что и как там неработало.
( What's new in 6.39 (2017-Apr-27 10:06):
!) filesystem - fixed rare situation when filesystem went into read-only mode (some configuration might have gotten lost on reboot); )
Настроить Tools -> Email куда отправлять почту.
System -> Loging -> Actions - "+" New Loginc action - name "send" , action "email" ; Email "настроеный е-майл"
System -> Loging - Rules - "+" New Log Rule - topics "info" ; topics "firewall" , Prefix "_NAT_=" , action "send"
По такому принцыпу было сделано оповещение про "dude,critical *********: db failure: disk I/O error
Долго вместе боролись с этим "failurе" на rb3011 с програмистом, ловили что и как там неработало.
( What's new in 6.39 (2017-Apr-27 10:06):
!) filesystem - fixed rare situation when filesystem went into read-only mode (some configuration might have gotten lost on reboot); )