Antes de mais nada vamos Rsyslog é o sistema de log padrão no Debian depois da versao 8 Lenny, substituto para o antigo syslog. Rsyslog conta com suporte para login em bancos de dados (MySQL e PostgreSQL). A configuração usa o dbconfig-common para facilitar a configuração via debconf.

Distribuição testadas:
Debian 11
Debian 10
Debian 9

Não precisa ser instalado nenhum pacote, apenas ter nosso Debian instalado. Vamos lá!

# vim /etc/rsyslog.conf

Neste arquivo descomente as linhas module(load=”imudp”) & input(type=”imudp” port=”514″). Se preferir você pode alterar a porta padrão 514, no exemplo vou alterar para 65014.

	# provides UDP syslog reception
	module(load="imudp")
	#input(type="imudp" port="514")
	input(type="imudp" port="65014")

Criamos o template que va ireceber os logs remoto e ignoramos os logs de localhost. Para que fique organizados vamos gerar um arquivo de log para cado Host/IP dentro do diretório /var/log/minharede/

# vim /etc/rsyslog.d/minharede.conf

$template RemoteHost,"/var/log/minharede/%HOSTNAME%.log
:fromhost-ip, !isequal, "127.0.0.1"    ?RemoteHost

Reiniciamos o serviço

# systemctl restart rsyslog

Verifique se a porta esta aberta

# netstat -putan | grep 65014

Vamos configurar o logrotate para fazer a compressão a cada 7 dias. Você tabém não precisa instalar o pacote pois ele já padrão do sistema.
O logrotate é projetado para simplificar a administração de arquivos de log em um sistema que gera um monte de arquivos de log. O logrotate possibilita a compressão rotativa automática. O logrotate pode ser configurado para manipular um arquivo de log diariamente, semanalmente, mensalmente ou quando o arquivo de log atingir um certo tamanho.

Criaremos o arquivo /etc/logrotate.d/minharede

# vim /etc/logrotate.d/minharede

/var/log/minharede/*.log {
    monthly
    rotate 12
    missingok
    notifempty
    sharedscripts
    postrotate
    /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
    endscript
}

Para testar execute o comando:

# logrotate /etc/logrotate.d/minharede --debug

reading config file /etc/logrotate.d/minharede
Reading state from file: /var/lib/logrotate/status
Allocating hash table for state file, size 64 entries

rotating pattern: /var/log/minharede/*.log after 1 days (7 rotations)
empty log files are not rotated, old logs are removed
considering log /var/log/minharede/r1.log
Creating new state
Now: 2018-09-06 14:49
Last rotated at 2018-09-06 14:00
log does not need rotating (log has been already rotated)
not running postrotate script, since no logs were rotated

Configurando syslog no RouterOS/Mikoritk

Configure seu agora em seus roteadores

/system logging action
add name=RouterLog remote=250.250.250.2 remote-port=65014 target=remote

/system logging
add action=RouterLog topics=info
add action=RouterLog topics=warning
add action=RouterLog topics=critical
add action=RouterLog topics=error

Configurando syslog no Huawei

info-center channel 6 name logserver
info-center source default channel 6 log level informational
info-center loghost source LoopBack0
info-center loghost 250.250.250.2 channel 6 facility local2 port 65014

Agora pode verificar no diretório os arquivos de logs estarão sendo criado.

# ls -lh /var/log/minharede/

Ex para acompanhar o log em tempo real onde r1.log seria o nome do arquivo criado.

# tail -f /var/log/minharede/r1.log

Recomendado ter um firewall nesta porta para deixar apenas IPs de seus roteadores ter acesso.
Neste link tenho um modelo simples e funcional de Firewall com iptables

Gostou? Deixe seu comentário ficarei feliz em saber que lhe ajudei, e se tiver qualquer pergunta deixe-a também, se preferir acesse o menu Consultoria lá você encontra meios de falar comigo!

Abraço!

O post Servidor de log para registros remoto do RouterOS/Mikrotik Huawei entre outros fabricantes apareceu primeiro em Remontti.