วิธีการเก็บ log file จาก Mikrotik โดย NSA210
Log File คือ อะไร
บางคนอาจสงสัยว่าเก็บไว้ทำไม ลองโหลดไปอ่านดูครับ >>>> พระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.๒๕๕๐
เข้าใจง่ายๆ คือ เพื่อรู้ว่าผู้ที่ใช้ internet เราใช้ เนตทำอะไรที่ไหนบ้าง
เผื่อทำผิดกฏหมาย เช่น โพสหมิ่นประมาทคนอื่น โพสขายของตามเว็บบอร์ดแล้วไม่ส่งของ หรือกระทำการผิดกฏหมาย ตาม พรบ.50
ถ้าเจ้าหน้าที่มาหา พร้อมขอหลักฐานการเก็บ log เราต้องมีให้ครับ
ไม่เช่นนั้นก็เป็นความผิดของเรา ถ้าหาผู้กระทำผิดไม่ได้ หรือบอกไม่ได้ว่าใครเป็นคนใช้ Internet ของเราทำผิด
สิ่งที่ต้องเก็บ และเก็บเพื่ออะไร
-account / hotspot
บอกว่า user นั้น login เมื่อไร logout เมื่อไร ได้ไอพีอะไร
-dhcp
บอกว่า IP ดังกล่าวมี Mac Address อะไร / ชื่อคอมที่ใช้ชื่ออะไร
-firewall
บอกว่า IP / User ดังกล่าวขณะนั้นใช้ port อะไรบ้าง
-web-proxy
บอกว่า IP นั้นเวลานั้นเข้าเวบอะไรบ้าง (เป็นหลักฐานสำคัญของ พรบ.50) อันนี้เท่าที่ลองกับรุ่นเล็ก-กลางๆ CPU ทำงานสูง แนะนำไม่ต้องเก็บครับ
ขั้นตอนการตั้งค่า NSA210 และ Mikrotik เพื่อเก็บ log file (แก้ไขรูปภาพเนื่องจากดึงมาจากเว็บเก่ารูปหาย เลยต้องทำใหม่จาก NSA310)
1.เซต IP ของ NSA210 ให้อยู่ในวงแลนเดียวกันกับ Mikrotik ตัวอย่าง Mikrotik ที่ผมใช้ gateway 192.168.1.1
ก็ตั้งเป็น 192.168.1.121 และเปิดพอร์ท 10057 ไว้สำหรับเรียกเข้ามาดูผ่าน dyndns
2.bypassed ให้ NSA210 ออกเนตได้โดยไม่ต้อง log in โดยไปที่ IP>>>Hotspot ตรง Host คลิ๊กขวาเลือก IP ของ NSA210
3.เอา HDD ที่ใส่ไป format กับ PC เพื่อให้ได้ partition เป็น NTFS
หรือใช้ NSA210 format จะได้ patition เป็น EXT3 ซึ่งเป็น linux หากจะเอาไปพ่วงบนวินโดว์ต้องใช้ Linux_Reader ในการดูข้อมูลครับ
4.ติดตั้ง Syslog โดยไปที่โปรแกรมสำเร็จรูป คลิ๊กที่ Syslog และเลือกติดตั้ง/อัพเกรดด้านบน
กรณีติดตั้งไม่ได้ อาจเพราะไม่ได้ bypass ให้ตัวอุปกรณ์ ผมใช้วิธีปิด hotspot ไปเลยครับง่ายดี
ถ้าโหลดไม่สำเร็จให้ไปโหลดที่ตามลิงค์สำหรับ NSA210
อันนี้ของ NSA310
ให้ copy ไปวางที่ \\192.168.1.210\admin\zy-pkgs
192.168.1.210 คือ IP ของ NAS ครับถ้าไม่ใช้ IP นี้ให้เปลี่ยนตามด้วย วางไว้ในโฟลเดอร์ zy-pkgs
ปัญหา คือ มัน download จาก server ไม่ได้ เลยติดตั้งไม่ผ่าน
6.ติดตั้งเรียบร้อย
7.เลือกตำแหน่งที่เก็บไฟล์ log จำนวนการเก็บ (ในที่นี้ผมเก็บแค่ 3 เดือน) และรูปแบบการเก็บ
8.เปิด winbox log in เข้า Mikrotik
9.ไปที่เมนู System >>> Logging
เลือก Actions กด + จะมีหน้าต่าง New Log Action
Name:syslog
Type:remote
Remote Address:192.168.1.121
Remote Port:514
เสร็จแล้วกด OK
11.จะได้ Log Actions 2 ตัว คือ
Webproxy และ syslog Type:remote
12.ที่ Rules กด+ จะมีหน้าต่าง New Log Rule
Topics:account
Actions:syslog
12.สร้าง Log Rule เพิ่มอีก 3 อัน
คือ dhcp firewall และ hotspot โดย Action:syslog
13.สร้าง Log Rule wep-proxy Action เป็น Webproxy
14.จะได้ Rules Logging ตามรูป
16.ไปที่ IP>>>Firewall ตรง Fiter Rules
กด + ที่ Action
Action:log กด Apply
17.ที่แท็บ General
Chain:forward
Out.Interface:pppoe-out1
18.อันนี้คือ Filter Rules log ที่เราสร้างขึ้นมาเมื่อกี้ครับ
19.ไปที่ Log จะเห็น Log วิ่ง ดูแทบไม่ทัน
20.วิธีเข้าดูก็ง่ายๆ กด start พิมพ์ \\ ตามด้วย IP ของ NSA210
หรือกด Windows+R ก็ได้
21.ตัว log file จะอยู่ตามตำแหน่งที่เราให้เก็บตามข้อ 7
เปิดดูด้วย Notepad หรือ Notepad++ จะดูง่ายกว่าครับ
วิธีการอีกแบบครับ copy วางใช้ได้เลย เปลี่ยน ip ของ NAS
/system logging action
add name=syslog remote=192.168.89.2 target=remote
/ip firewall filter
add action=log chain=forward log=yes port=80,443 protocol=udp
add action=log chain=forward log=yes port=80,443 protocol=tcp
/system logging
add action=syslog topics=account
add action=syslog topics=dhcp
add action=syslog topics=hotspot
add action=syslog topics=firewall
โดย log file จำเป็นต้องนำไปวิเคราะห์ร่วมกับข้อมูลการโพสในเวปบอร์ดหรือการกระทำที่ผิดตาม พรบ.50
มีไว้ดีกว่าไม่มีครับ คงไม่มีใคร ไม่ได้ทำผิดแล้วตกเป็นแพะ
แต่ถ้าไม่มี คือ ยังไงก็เป็นคนทำผิดอยู่แล้ว
หวังว่าคงไม่มีท่านใดงานเข้าเพราะไม่ได้เก็บ log file นะครับ
สำหรับวันนี้ สวัสดีครับ