Nat日志配置及功能介绍
- 日志告警
- 2022-11-15
- 1522热度
- 0评论
Nat日志功能配置
Nat日志可解析RouterOS(ROS系统)全链路日志
启用Nat日志
启用全日志后,执行以下指令,启用SrcNat和DstNat规则的log功能,记录Nat日志。
/ip firewall nat set [find log!=yes] log=yes
日志启用配置十分灵活,您可以根据自己RouterOS系统配置,自行调整,示例仅供参考。启用log功能即可实现日志解析和收录,十分方便。
关闭Nat日志
/ip firewall nat set [find log=yes] log=no
关闭Nat日志即取消log输出功能。
RouterOS日志配置建议
- 建议把RouterOS的内置DNS服务器启用,并在DHCP、PPP等功能中,默认为用户下发首选DNS为该服务(备用可用公共DNS),以便日志中的域名反查信息更准确;
- 设备比较多时,可以使用【云指令】功能,快速操作启用和关闭Nat日志功能;
- 历史域名为日志发生时的域名数据快照存档信息,检索关键字也匹配该数据;站点域名是当前最新的域名信息,不在检索范围,如需精准检索可以使用对应的ip;最新和历史数据同时展示,方便比对,及时发现异常流量;
- 建议X86、CHR、中高端设备,在【日志告警-功能管理】界面切换至SFTP模式。UDP模式,使用514端口实时传输日志数据,无重传能力,丢失率与网络质量成反比,实测丢失率均值0.05%,适合磁盘容量有限的低端设备; SFtp模式,使用50022端口SFtp加密协议同步日志数据,设备本地使用文件缓存,断流自动重传,可实现0丢失,适合中高端设备或有日志0丢失要求的业务;
Nat日志界面介绍
Nat日志界面功能丰富,具体参考下发界面功能图示。
右上角自选列功能每个页面都可以控制,自选列自动保存在本地浏览器缓存中。
表头支持拖拽,可快速改变列排序。
另外,所有页面均支持导出Excel和打印功能。
Nat日志界面功能不断丰富完善中,教程可能有延迟,以最新界面为准。
日志地理分布显示功能
点击查看日志地理分布,会根据当前检索关键字及日志库数据,在地图上展示日志地理分布。
可分别查看来源归属地、目的归属地的日志地理分布情况。
多维度数据汇聚功能
Nat日志的大部分字段均支持汇聚分析功能,可点击字段前的“>”标记,弹出汇聚数据子表,支持多开,便于对比分析。
IP定位功能
定位精度不高,仅供参考。
数据解析功能
支持以下四类数据解析:
- IP归属地解析
- IP反查域名
- 域名备案信息解析
- Radius计费认证账号关联解析
日志分类及记录状态
日志记录状态详细显示日志磁盘占用情况,并自动计算6个月保存消耗。
如资源不足,请联系站长补充资源包。
自定义日志前缀教程
如需进一步区分日志类型,请参考:自定义日志前缀教程 https://blog.rosz.cn/?p=290
支持IP掩码范围检索和反向检索
日志分析功能
对日志表进行数据汇聚分析,支持多达19项日志属性分析
双击任意行数据,弹出分析子表,可进行二次汇聚和检索
日志全量检索功能
可查询任意时间范围日志,并进行汇聚分析,具体使用方法参考下图。
日志检索历史记录
每次检索根据关键字变化,自动保存检索关键字的历史记录;
可在Tab表中快速切换检索不同关键字,支持备注和删除操作。
疑难解答
为何我的日志地理分布图上没有数据?
请先确认是否已经在需要的链路或者策略上启用了log记录,Nat日志是否已经有收到。如果已经有日志,仍然无地理定位显示,一般是配置到内网流量转发链路上了,地理位置定位是针对互联网流量的。建议在forward链路或者srcnat的masquerade即伪装规则上启用log,即可正常记录经过RouterOS路由器的互联网流量,并显示地理定位。