software สำหรับช่วยในการวิเคราะห์ raw log ที่มาจาก mikrotik กันนะครับ ปกติแล้วเวลาเราเก็บ log เพื่อให้ครอบคลุมตามพรบ. เราจะทำการ config ให้ mikrotik ส่ง log ออกมายัง syslog server ซึ่งอาจจะเป็น syslog-ng หรือที่นิยมกันคือ NAS Zyxel เนื่องจากใช้งานง่ายและสะดวก แต่บางครั้ง raw log ที่ได้มานั้นอาจจะดูค่อนข้างยากและไม่สามารถวิเคราะห์ได้ว่า
– Source ip address ไหนมีการใช้งาน internet ในปริมาณที่สูงสุด ?
– Destination ip address ไหนที่ user มีการเข้าไปใช้งานมากที่สุด ?
– User คนไหนที่มีการใช้งาน Bandwidth ในปริมาณมากที่สุด ?
– Protocol ไหนที่ user ใช้งานมากที่สุด (HTTP,HTTPS,SMTP,POP3,FTP,SSH หรืออื่นๆ) ?
สำหรับ software ที่ชื่อว่า sawmill นั้นจะเป็นตัวที่มาทำหน้าที่ช่วยในการวิเคราะห์ raw log ที่ได้มา แล้วทำการสรุปให้เรา ซึ่ง report ที่ได้นั้นเราสามารถกำหนดรุปแบบต่างๆได้เช่น กราฟ หรือตารางต่างๆ
โดยจาก Diagram นั้น เราได้ทำการ config mikrotik ให้ส่ง log ไปเก็บที่ Syslog Server ซึ่งเป็น Centos แล้วทำการติดตั้ง syslog-ng ลงไป หลังจากนั้นจะมี server อีกเครื่องที่ติดตั้ง software sawmill และทำการ config ให้ไปดึง log จาก syslog-ng มาวิเคระห์ ทั้งนี้เราสามารถกำหนด schedule ให้ระบบทำการดึงและวิเคราะห์ log ตามระยะเวลาที่เราต้องการได้แบบอัตโนมัติ
http://www.sawmill.net/
Diagram Mikrotik and Sawmill Log analysis
sawmill ทำการตรวจสอบ raw log ที่เราดึงเข้ามา แล้วพบว่าเป็น log ที่มาจาก Mikrotik Router
รายละเอียดของ log ในรุปแบบคล้าย raw log ต้นฉบับ แค่ถูกจัดเป็นคอลัมม์ให้ดูง่ายขึ้น