วิธีการเก็บ log file จาก Mikrotik โดย NSA210

Log File คือ อะไร
 
บางคนอาจสงสัยว่าเก็บไว้ทำไม ลองโหลดไปอ่านดูครับ >>>> พระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.๒๕๕๐
 
เข้าใจง่ายๆ คือ เพื่อรู้ว่าผู้ที่ใช้ internet เราใช้ เนตทำอะไรที่ไหนบ้าง
เผื่อทำผิดกฏหมาย เช่น โพสหมิ่นประมาทคนอื่น โพสขายของตามเวปบอร์ดแล้วไม่ส่งของ หรือกระทำการผิดกฏหมาย ตาม พรบ.50

ถ้าเจ้าหน้าที่มาหา พร้อมขอหลักฐานการเก็บ log เราต้องมีให้ครับ
ไม่เช่นนั้นก็เป็นความผิดของเรา ถ้าหาผู้กระทำผิดไม่ได้ หรือบอกไม่ได้ว่าใครเป็นคนใช้ Internet ของเราทำผิด

สิ่งที่ต้องเก็บ และเก็บเพื่ออะไร

-account  / hotspot 
บอกว่า user นั้น login เมื่อไร logout เมื่อไร ได้ไอพีอะไร

-dhcp
บอกว่า IP ดังกล่าวมี Mac Address อะไร / ชื่อคอมที่ใช้ชื่ออะไร

-firewall
บอกว่า IP / User ดังกล่าวขณะนั้นใช้ port อะไรบ้าง

-web-proxy
บอกว่า IP นั้นเวลานั้นเข้าเวบอะไรบ้าง (เป็นหลักฐานสำคัญของ พรบ.50) อันนี้เท่าที่ลองกับรุ่นเล็ก-กลางๆ CPU ทำงานสูง แนะนำไม่ต้องเก็บครับ

ขั้นตอนการตั้งค่า NSA210 และ  Mikrotik เพื่อเก็บ log file
 
1.เซต IP ของ NSA210 ให้อยู่ในวงแลนเดียวกันกับ Mikrotik ตัวอย่าง Mikrotik ที่ผมใช้ gateway 192.168.1.1
ก็ตั้งเป็น 192.168.1.210 และเปิดพอร์ท 10000 ไว้สำหรับเรียกเข้ามาดูผ่าน dyndns


2.bypassed ให้ NSA210 ออกเนตได้โดยไม่ต้อง log in โดยไปที่ IP>>>Hotspot ตรง Host คลิ๊กขวาเลือก IP ของ NSA210


3.เอา HDD ที่ใส่ไป format กับ PC เพื่อให้ได้ partition เป็น NTFS
หรือใช้ NSA210 format จะได้ patition เป็น EXT3 ซึ่งเป็น linux หากจะเอาไปพ่วงบนวินโดว์ต้องใช้ Linux_Reader ในการดูข้อมูลครับ


4.ติดตั้ง Syslog โดยไปที่โปรแกรมสำเร็จรูป คลิ๊กที่ Syslog และเลือกติดตั้ง/อัพเกรดด้านบน



5.กด ตกลง เพื่อยืนยันการติดตั้ง

 
กรณีติดตั้งไม่ได้ อาจเพราะไม่ได้ bypass ให้ตัวอุปกรณ์ ผมใช้วิธีปิด hotspot ไปเลยครับง่ายดี 
ถ้าโหลดไม่สำเร็จให้ไปโหลดที่ตามลิงค์สำหรับ NSA210
 
 
อันนี้ของ NSA310
 
ให้ copy ไปวางที่ \\192.168.1.210\admin\zy-pkgs
192.168.1.210 คือ IP ของ NAS ครับถ้าไม่ใช้ IP นี้ให้เปลี่ยนตามด้วย วางไว้ในโฟลเดอร์ zy-pkgs
 
ปัญหา คือ มัน download จาก server ไม่ได้ เลยติดตั้งไม่ผ่าน

6.ติดตั้งเรียบร้อย


7.เลือกตำแหน่งที่เก็บไฟล์ log จำนวนการเก็บ (ในที่นี้ผมเก็บแค่ 3 เดือน) และรูปแบบการเก็บ



8.เปิด winbox log in เข้า Mikrotik


9.ไปที่เมนู System >>> Logging
เลือก Actions กด + จะมีหน้าต่าง New Log Action
Name:syslog
Type:remote
Remote Address:192.168.1.210
Remote Port:514

เสร็จแล้วกด OK



10.กด+ อีกรอบเพื่อสร้าง Webproxy Log หรือกด Copy ที่อยู่ใต้ Apply นั่นแหละ (ตัว Webproxy ถ้าลองเก็บแล้ว CPU ขึ้นสูงแนะนำไม่ต้องเก็บครับ)
ทำเหมือนกันกับข้างบน แต่เปลี่ยนชื่อ log
Name:Webproxy
Type:remote
Remote Address:192.168.1.210
Remote Port:514
 

11.จะได้ Log Actions 2 ตัว คือ 
Webproxy และ syslog Type:remote


12.ที่ Rules กด+ จะมีหน้าต่าง New Log Rule
Topics:account
Actions:syslog


12.สร้าง Log Rule เพิ่มอีก 3 อัน
คือ dhcp firewall และ hotspot โดย Action:syslog


13.สร้าง Log Rule wep-proxy Action เป็น Webproxy



14.จะได้ Rules Logging ตามรูป


15.ไปที่ IP>>>Hotspot ที่ User Profile
ติ๊กเครื่องหมายถูกตรง Transparent Proxy เพื่อให้ Proxy ใน Mikrotik ทำงาน



16.ไปที่ IP>>>Firewall ตรง Fiter Rules
กด + ที่ Action
Action:log กด Apply



17.ที่แท็บ General
Chain:forward
Out.Interface:pppoe-out1



18.อันนี้คือ Filter Rules log ที่เราสร้างขึ้นมาเมื่อกี้ครับ



19.ไปที่ Log จะเห็น Log วิ่ง ดูแทบไม่ทัน

 

20.วิธีเข้าดูก็ง่ายๆ กด start พิมพ์ \\ ตามด้วย IP ของ NSA210
หรือกด Windows+R ก็ได้
 


21.ตัว log file จะอยู่ตามตำแหน่งที่เราให้เก็บตามข้อ 7
เปิดดูด้วย Notepad หรือ Notepad++ จะดูง่ายกว่าครับ

 
วิธีการอีกแบบครับ copy วางใช้ได้เลย เปลี่ยน ip ของ NAS
 
/system logging action
add name=syslog remote=192.168.1.210target=remote
add name=Webproxy remote=192.168.1.210target=remote
/system logging
add action=Webproxy topics=web-proxy
add action=syslog topics=account
add action=syslog topics=dhcp
add action=syslog topics=hotspot
add action=syslog topics=firewall

/ip firewall filter
add action=log chain=forward out-interface=pppoe-out1
add action=log chain=forward out-interface=pppoe-out2 หรือ interface ที่ต้องการ กรณีใช้มากกว่า 1 WAN
 
ขอสคริปท์ได้ที่ webmaster@nextgenip.biz ครับ
 
โดย log file จำเป็นต้องนำไปวิเคราะห์ร่วมกับข้อมูลการโพสในเวปบอร์ดหรือการกระทำที่ผิดตาม พรบ.50
มีไว้ดีกว่าไม่มีครับ คงไม่มีใคร ไม่ได้ทำผิดแล้วตกเป็นแพะ
แต่ถ้าไม่มี คือ ยังไงก็เป็นคนทำผิดอยู่แล้ว
 
หวังว่าคงไม่มีท่านใดงานเข้าเพราะไม่ได้เก็บ log file นะครับ
 
สำหรับวันนี้ สวัสดีครับ