Návod: posílání logů z Mikrotiku na rsyslog server

[Dacesilian]

V linuxu s nainstalovaným rsyslogem přidáme konfiguraci:

vi /etc/rsyslog.conf
# Mikrotik
$template Mikrotik,"/var/log/mikrotik/ip-%fromhost-ip%-%$YEAR%-%$MONTH%-%$DAY%.log"
:fromhost-ip, isequal, "7.8.9.0" ?Mikrotik
& stop
:fromhost-ip, isequal, "7.8.9.1" ?Mikrotik
& stop

Dobré je přidat ji hned za #### RULES ####, tedy před *.*;auth,authpriv.none -/var/log/syslog, aby se zprávy neukládaly navíc i do syslogu.
7.8.9.0 a 7.8.9.1 jsou dva různé Mikrotiky. Každý si upraví podle potřeby. Určitě by to šlo nastavit i obecně.

V iptables nezapomenout povolit port 514.
Ještě je třeba v rsyslogu nastavit, aby vůbec poslouchal na TCP/UDP (řádky stačí odkomentovat):
vi /etc/rsyslog.conf
# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")
# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")

V Mikrotiku přidáme akci pro odeslání a pravidla pro použití akce.

Akce: 1.2.3.4 je adresa rsyslog serveru, 7.8.9.0 je zdrojová IP mikrotiku (nemusí být specifikovaná):
/system logging action
add bsd-syslog=yes name=rsyslogserver remote=1.2.3.4 src-address=\
7.8.9.0 syslog-facility=syslog syslog-severity=info target=remote

Pravidla: každý si může upravit. Já jsem chtěl zprávy rozdělit různým označením (fw, sys, info). Mikrotik do logu neposílá zdrojový topic (https://wiki.mikrotik.com/wiki/Manual:System/Log).
/system logging
add action=rsyslogserver prefix=info topics=info,!firewall,!system
add action=rsyslogserver prefix=fw topics=firewall
add action=rsyslogserver prefix=sys topics=system