Welcome to Sysnet Board คู่มือ การใช้งานอุปกรณ์ Network. Please log in or sign up.
สมาชิกทั้งหมด
17,949
กระทู้ทั้งหมด
9,945
หัวข้อทั้งหมด
4,633

  • เก็บ Log การใช้งาน Internet จาก Mikrotik Router ด้วย Zyxel NSA210
    เริ่มโดย yod
    Read 27,187 times
0 สมาชิก และ 1 ผู้มาเยือน กำลังดูหัวข้อนี้
yod

เก็บ Log การใช้งาน Internet จาก Mikrotik Router ด้วย Zyxel NSA210




ลอกขั้นตอนบางส่วนมาจากหัวข้อนี้นะครับ เก็บ Log การใช้งาน Internet จาก Mikrotik Router

แต่หัวข้อนี้จะเก็บ Log ลง NAS ของ Zyxel รุ่น NSA-210 ครับ (เลิกผลิตไปแล้ว) แต่สามารถใช้ร่วมกับ Zyxel NSA รุ่นอื่นๆได้ครับ https://www.sysnetcenter.com/22-network-attached-storage


ข้อเสียสำหรับการเก็บ log แบบนี้คือถ้า User เยอะ จะใช้เนื้อที่ในการจัดเก็บค่อนข้างเยอะมาก ไม่ควรใช้กับระบบที่ Users ใช้งานพร้อมๆกันเกิน 30 Users และจะค่อนข้างเปลือง Traffice รวมถึง CPU บนอุปกรณ์ Mikrotik เพราะจะต้องส่งข้อมูลไปยังเครื่อง Syslog Server ผ่านสาย Lan หรือ Wireless จะไม่เหมือนพวกโปรแกรม Internet Billing ที่ติดตั้งบนเครื่อง Computer โดยตรง เพราะข้อมูลจะบันทึกลง Harddisk ผ่านสาย SATA ซึ่งจะเร็วกว่าเยอะและไม่รบกวน Traffic บนเครือข่าย และที่สำคัญคือ จะไม่ตรงกับ พรบ. ในเรื่องของการเข้ารหัสของไฟล์ข้อมูล


แต่ดีกว่าไม่มีครับ อย่างน้อยเวลามีเรื่องมีราวขึ้นมาก็ยังพอตรวจสอบกันได้ เพราะในหัวข้อนี้จะเพิ่มในส่วน User ที่ Login เข้ามาด้วยหมายะเลข MAC Address อะไร และได้ IP Address อะไรไปในช่วงนั้นๆ


เครื่อง Zyxel NSA210 ที่ทดสอบ หมายเลข IP Address จะเป็น 192.168.1.95 กำหนด NTP Time ในเครื่อง NAS กับ Mikrotik ให้เรียบร้อยด้วยนะครับ ให้เวลาตรงกัน


1. Login เข้า Winbox ทำการ Enable Proxy โดยเข้า Menu IP --> Web Proxy




หรือจะ Run Script ตามนี้

/ip proxy
set enabled=yes
set src-address=0.0.0.0
set port=8080
set parent-proxy=0.0.0.0
set parent-proxy-port=0
set cache-administrator="webmaster"
set max-cache-size=none
set cache-on-disk=no
set max-client-connections=600
set max-server-connections=600
set max-fresh-time=3d
set always-from-cache=no
set cache-hit-dscp=4
set serialize-connections=no



2. สร้าง NAT Redirect Port ให้ข้อมูล HTTP (80) วิ่งเข้า Proxy (8080) ส่วน Port HTTPS (443) ยังไม่ได้ทดสอบครับ

เข้า Menu IP --> Firewall --> NAT

Tab General
Chain: dstnat
Protocol: TCP
DST Port: 80



Click [Apply]

Tab Action
Action: redirect
To Ports: 8080



Click [OK]


หรือจะ Run Script ตามนี้

/ip firewall nat add action=redirect chain=dstnat disabled=no dst-port=80 protocol=tcp to-ports=8080


ลากขึ้นมาไว้ด้านบนสุด




3. เข้า Menu System --> Logging

Tab Action

เพิ่ม Log Action
Name: syslog
Type: remote
Remote Address: 192.168.1.95 (เครื่อง NAS ) ในรูปจะเป็นรูปเก่านะครับ



Click [OK]

Tab Rules
เพิ่ม Log Rule
Topics: web-proxy
debug ให้มีเครื่องหมาย ! นำหน้าด้วยนะครับ หมายถึงเป็นการไม่เก็บข้อมูล Debug ไม่งั้นจะเยอะ
Action: syslog



Click [OK]


Tab Rules
เพิ่ม Log Rule
Topics: script
Topics: info
Action: syslog



Click [OK]

หรือจะ Run Script ตามนี้

/system logging action
add name=syslog remote=192.168.1.95 target=remote

/system logging
add action=syslog topics=web-proxy,!debug
add action=syslog topics=script,info





4. ทีนี้ก็สร้าง Event เวลาผู้ใช้งาน Login เพื่อเก็บค่า IP และ MAC Address

เข้า Menu --> IP --> Hotspot

Tab User Profiles เลือก property ของ default

ใส่ Scripts ตามรูปครับ



On Login:
:local whouser $user;
:local whoip $address;
:local macaddr [/ip hotspot active get [find user=$whouser] mac-address];

:log info ("User Login:".$whouser." IP :".$whoip." Mac:".macaddr);

On Logout:
:log info ("User Logout: ".$user);


หรือจะสั่ง Run Script

/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
    mac-cookie-timeout=3d on-login=":local whouser \$user;\r\
    \n:local whoip \$address;\r\
    \n:local macaddr [/ip hotspot active get [find user=\$whouser] mac-address\
    ];\r\
    \n\r\
    \n:log info (\"User Login:\".\$whouser.\" IP :\".\$whoip.\" Mac:\".macaddr\
    );" on-logout=":log info (\"User Logout: \".\$user);"



5. นำ MAC Address ของเครื่อง NSA210 มา Bypass บน Mikrotik





การ Config บนอุปกรณ์ Mikrotik มีแค่นี้ครับ


ส่วนการ Config Syslog Server บนอุปกรณ์ NAS Zyxel NSA210 เครื่องที่ทดสอบตั้งหมายเลข IP เป็น 192.168.1.95

แต่จะขอสรุปในส่วน Syslog Service นะครับ

1. Login NSA-210 เข้า Menu Administrator --> Application --> Package

ทำการ Install Package Syslog



หลังจาก Install เรียบร้อย เข้า Menu Config Syslog Server


Enable Syslog Server
Purge Policy: Enable Purge Policy
Log Deletion Interval: 3 Month

Log Format: Simple



Click [Apply]




ทดสอบ


ลอง Login เข้าระบบ Hotspot จาก User ที่สร้างไว้ใน User Manager เข้า Website ต่างๆ จากนั้น Login เข้าหน้า Config NSA-210 หรือจะเข้าผ่าน Drive 192.168.1.95 ก็ได้ครับ






เมื่อมีการ Login เข้ามาในระบบ Hotspot ใน Log จะแจ้งหมายเลข IP, MAC Address และ UserName




เมื่อทำการ Logout หรือ ขาดการเชื่อมต่อ จะมีการเก็บเวลาที่ Logout ของ User





ลองทดลองใช้งานกันดูนะครับ  ;D ;D


ตัว Web Proxy ของ Mikrotik จะใช้ได้แต่กับ Traffic HTTP (80) ครับ ด้วยที่ว่าตัวมันเองเป็นเพียง HTTP Proxy อย่างเดียว จึงไม่รองรับ Traffic HTTPS
ถ้าเมื่อไรว่างๆ เดี๋ยวจะมาลองช่วยเขียนการเก็บ log ด้วยอุปกรณ์ NAS ของ Synology ให้ครับ :D

สอบถามคุณยอดเป็นความรู้หน่อยครับว่า iBSG Box เค้าเก็บ log ได้เฉพาะ HTTP อย่างเดียว หรือว่าเก็บ HTTPS ได้ด้วยครับ

yod


Synology แพงม๊ากกก  :D


เดี๋ยวผมคุณแม๊ก NVK ให้นะครับ



#3


Synology แพงม๊ากกก  :D


เดี๋ยวผมคุณแม๊ก NVK ให้นะครับ
[/quote]
เท่าที่ลองค้นดูเหมือนว่า iBSG เค้าเก็บ log จาก TCP Session เป็นหลักครับ โดยจะไม่เห็นเป็น URL ของเว็บครับ แต่จะเก็บโดย Source IP/Source Port/Destination IP/Destination Port เพื่อดูว่า IP ไหนไปติดต่อกับ IP ไหนบ้าง

ซึ่งผมคิดว่า Mikrotik เราก็น่าจะทำได้เหมือนกัน (แต่ยังไม่ได้ลอง)