от скопировано отсюда
Настроим логирование нашего оборудование.
Проверяем есть ли у нас rsyslog командой
ls /etc/rsys*
Вывод команды:
ls /etc/rsys*
/etc/rsyslog.conf /etc/rsyslog.conf.save /etc/rsyslog.conf.save.1 /etc/rsyslog.conf.save.2 /etc/rsyslog.conf.save.3
Если нет, то ставим
apt-get install rsyslog
После установки переходим в конфигурационный файл
nano /etc/rsyslog.conf
Настроим прием удаленных логов на наш сервер.
Раскомментируем строчки:
module(load="imtcp") - модуль для приема логов по udp.
input(type="imtcp" port="514") –udp порт который будет слушать наш rsyslog.
В принципе этого достаточно для приема удаленных логов, то тогда все устройства будут писать логи в один файл, и с ним будет очень сложно работать. Для этого в rsyslog создадим правило фильтрации по IP адресам. То есть каждое устройство будет писать логи в свой отдельный файл. Для этого добавим в конец конфига rsyslog следующую строку,
if $fromhost-ip contains '192.168.100.1' then /var/log/mikrotik.log
Здесь говориться если у хоста ip 192.168.100.1 то его логи записываем в файл /var/log/mikrotik.log. Теперь нам осталось перезагрузить rsyslog
sudo systemctl restart rsyslog.service
и перейти к маршрутизатору MikroTik для настройки отправки логов.
Настройка Mikrotik для отправки логов на syslog сервер
Логи мы будем отправлять на серый адрес 192.168.100.254. Их отправка настраивается в “System->logging”. Из консоли выполняем следующие команды:
/system logging
/add action=remote topics=info
/add action=remote topics=error
Выгружаем конфигу system logging action находим нужный нам пункт это “remote” и указываем ip куда нам записывать логи
/system logging action set 3 remote = 192.168.100.254 src-address = 192.168.100.1
Все на этом настройка и отправка логов с микротика на сервер rsyslog завершена, можем проверить создался и наполняется ли файл данными, если нет, то просто создаем файл и еще раз проверяем.
Посмотреть можно командой:
cat /var/log/mikrotik.log
Так же для удобства можно поставить Zabbix.
У них очень удобный конструктор, посмотреть можно тут