software สำหรับช่วยในการวิเคราะห์ raw log ที่มาจาก mikrotik กันนะครับ ปกติแล้วเวลาเราเก็บ log เพื่อให้ครอบคลุมตามพรบ. เราจะทำการ config ให้ mikrotik ส่ง log ออกมายัง syslog server ซึ่งอาจจะเป็น syslog-ng หรือที่นิยมกันคือ NAS Zyxel เนื่องจากใช้งานง่ายและสะดวก แต่บางครั้ง raw log ที่ได้มานั้นอาจจะดูค่อนข้างยากและไม่สามารถวิเคราะห์ได้ว่า
– Source ip address ไหนมีการใช้งาน internet ในปริมาณที่สูงสุด ?
– Destination ip address ไหนที่ user มีการเข้าไปใช้งานมากที่สุด ?
– User คนไหนที่มีการใช้งาน Bandwidth ในปริมาณมากที่สุด ?
– Protocol ไหนที่ user ใช้งานมากที่สุด (HTTP,HTTPS,SMTP,POP3,FTP,SSH หรืออื่นๆ) ?

สำหรับ software ที่ชื่อว่า sawmill นั้นจะเป็นตัวที่มาทำหน้าที่ช่วยในการวิเคราะห์ raw log ที่ได้มา แล้วทำการสรุปให้เรา ซึ่ง report ที่ได้นั้นเราสามารถกำหนดรุปแบบต่างๆได้เช่น กราฟ หรือตารางต่างๆ

โดยจาก Diagram นั้น เราได้ทำการ config mikrotik ให้ส่ง log ไปเก็บที่ Syslog Server ซึ่งเป็น Centos แล้วทำการติดตั้ง syslog-ng ลงไป หลังจากนั้นจะมี server อีกเครื่องที่ติดตั้ง software sawmill และทำการ config ให้ไปดึง log จาก syslog-ng มาวิเคระห์ ทั้งนี้เราสามารถกำหนด schedule ให้ระบบทำการดึงและวิเคราะห์ log ตามระยะเวลาที่เราต้องการได้แบบอัตโนมัติ
http://www.sawmill.net/

21705_10153010193583710_3430619213266722148_n

Diagram Mikrotik and Sawmill Log analysis

 

11102768_10153010193708710_4361308093435988611_n

sawmill ทำการตรวจสอบ raw log ที่เราดึงเข้ามา แล้วพบว่าเป็น log ที่มาจาก Mikrotik Router

10955645_10153010193718710_8500830653529881616_n

รายละเอียดของ log ในรุปแบบคล้าย raw log ต้นฉบับ แค่ถูกจัดเป็นคอลัมม์ให้ดูง่ายขึ้น


Leave a Reply

Your email address will not be published. Required fields are marked *