Mikrotik with rsyslog

研究了一下, 原來mikrotik的日誌是存在記憶體裡的. 一旦重開機日誌就消失了.

設定也很簡單. 連線到設備後選 System > Logging, 在Action下新增rsyslog server的IP跟PORT(UDP 514)即可.

在Rules下新增要記錄的類型即可.

rsyslog這個Linux本來就有安裝了.

vim /etc/rsyslog.conf
# 刪除標記 注意這裡是UDP
module(load="imudp")
input(type="imudp" port="514")
# 新增一行
:fromhost-ip, isequal, "RouerOS_IP_Address"  /var/log/mikrotik/mikrotik.log

# 建檔案
mkdir -p /var/log/mikrotik
touck /var/log/mikrotik/mikrotik.log

# 防火牆
vim /etc/iptables.up.rules
-A INPUT -s ROUTER_IP -p udp -m udp --dport 514 -m state --state NEW -j ACCEPT
iptables-restore < /etc/iptables.up.rules

# 重新啟動服務
systemctl restart rsyslog

另外日誌檔會越來越肥, 所以用logrotate把它分割並固定時間刪除舊檔

vim /etc/logrotate.d/rsyslog

#加入一行
/var/log/mikrotik/mikrotik.log

參數參考 https://linux.vbird.org/linux_basic/centos7/0570syslog.php#rotate_confighttps://www.cnblogs.com/clsn/p/8428257.html

3.2配置文件说明

配置参数说明
monthly日志文件将按月轮循。其它可用值为’daily’,’weekly’或者’yearly’。
rotate 5一次将存储5个归档日志。对于第六个归档,时间最久的归档将被删除。
compress在轮循任务完成后,已轮循的归档将使用gzip进行压缩。
delaycompress总是与compress选项一起用,delaycompress选项指示logrotate不要将最近的归档压缩,压缩将在下一次轮循周期进行。这在你或任何软件仍然需要读取最新归档时很有用。
missingok在日志轮循期间,任何错误将被忽略,例如“文件无法找到”之类的错误。
notifempty如果日志文件为空,轮循不会进行。
create 644 root root以指定的权限创建全新的日志文件,同时logrotate也会重命名原始日志文件。
postrotate/endscript在所有其它指令完成后,postrotate和endscript里面指定的命令将被执行。在这种情况下,rsyslogd 进程将立即再次读取其配置并继续运行。
以上信息来源 “man logrotate”

 3.3手动运行logrotate

  logrotate可以在任何时候从命令行手动调用。要调用为/etc/lograte.d/下配置的所有日志调用logrotate:

[root@clsn6 ~]# logrotate /etc/logrotate.conf

發佈留言