Как настроить сбор логов с MikroTik?

Question

[SergeProfessor]

Доброго времени суток! Стоит задача: есть микротик, мне нужно весь трафик с одного интерфейса логгировать и отправлять на удалённую машину. Выяснил, что целесообразно использовать traffic flow. Суть вопроса: чем на удалённой машине этот трафик собирать? На ней стоит ubuntu server 14.04.

Answer 1

[Gregory]

https://major.io/2011/06/05/measure-traffic-flows-...

Answer 2

[Клёвый Админ]

Если нужно собирать метаданные по трафику - совет рядом, если нужно брать прямо сам трафф аки СОРМ, то нужно зеркалить порт через настройки switch.

Answer 3

[Александр Романов]

Передо мной стояла задача собирать весь траффик (не метаданные). Порт был в бридже. Решение очень простое:
Bridge - settings - use ip firewall
После этого:

/ip firewall mangle
add action=sniff-tzsp chain=prerouting in-bridge-port=ether5 sniff-target=172.16.1.155 \
    sniff-target-port=37008
add action=sniff-tzsp chain=postrouting out-bridge-port=ether5 sniff-target=172.16.1.155 \
    sniff-target-port=37008

Замените ip адрес сервера на ваш, а на сервере настройте wireshark с фильтром
udp port 37008

Для оптимизации можете копнуть в сторону dumpcap из того же вайршарка. А если нужны метаданные - то да, нетфлоу.