Huawei (syslog и NetFlow)
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Инструкция применима для MikroTik с RouterOS 6 и 7+
Настройка MikrotikSyslog
Настройка может выполняется с помощью WinBox (рассматривается этот метод), либовыполняться через веб-интерфейскомандную MikroTik RouterOSстроку под учетной записью с правами администратораадминистратора.
#Настройка syslog
info-center channel 6 name Syslog_KUMA
info-center source default channel 6 log level informational
info-center loghost source <Название интерфейса, с которого будет происходить отправка событий>
info-center loghost <IP-адрес коллектора KUMA> port <Порт коллектора KUMA> facility local7 severity warning
#Включение регистрации событий ввода команд
info-center command-log enable
info-center command-log size 100
info-center command-log timestamp
quit
saveНастройка NetFlow
Настройка может выполняться через командную строку.строку под учетной записью с правами администратора.
Перейдите
#Укажите винтерфейс, разделиз Systemкоторого -будут Loggingэкспортироваться данные о потоке. Замените цифру «3» фактическим номером интерфейса , воесли вкладкеон Actionsотличается.
добавляемslot новый элемент3 (Replace "3" with your actual slot number if different.)
ip netstream sampler to slot self
ipv6 netstream sampler to slot self
#Настройка параметров экспорта NetStream.Задайте параметры экспорта NetStream, включая версию, исходный IP-адрес и IP-адрес хоста.
ip netstream timeout active 1
ip netstream timeout inactive 15
ip netstream export version 9
ip netstream export index-switch 32
ip netstream export template timeout-rate 1ip netstream sampler fix-packets 500 inbound
ip netstream sampler fix-packets 500 outbound
ip netstream export source <адрес устройства>
ip netstream export <IP-адрес KUMA коллектора> 2055 #порт по умолчанию используется- протокол2055, UDP):при 
необходимости Cохранитеменяем
настройку,ip нажавnetstream Applyexport иtemplate OK.
option Настройкаsampler
черезip команднуюnetstream строку:
export /systemtemplate loggingoption actiontimeout-rate /system/logging/action>1ip addnetstream bsd-syslog=yesas-mode name=kuma32
remote=(KUMA_IP)#Включите remote=KUMA_PORTNetFlow syslog-facility=syslogна target=remoteинтерфейсах, которые будут экспортировать данные о потоке.
ip netstream inbound
Каждое событие в журналах Mikrotik может находиться одновременно в разных Topics, пример ниже:
В правилах логирования необходимо укаказать Topics, не пересекающиеся в других правилах. Иными словами, нужно создать отдельные правила с указанием отдельных Topics и если необходимо указать исключения, для категорий событий, которые не нужно отправлять на коллектора, установите флаг ! перед Topics. В раскрывающемся списке Action выберите созданное ранее действие kuma, затем нажмите ОК.
Настройка через командную строку:
/system logging
add topics=critical prefix=critical action=kuma
При включении определенных Topics, особенно firewall может возрастать нагрузка на МЭ MikroTik, обращайте внимание на нагрузку системы после влючения логирования, особенно это касается моделей со слабой аппаратной начинкой
Настройка KUMA
После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий MikroTik.
1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне MikroTik.
2. На шаге Парсинг событий выберите нормализатор [OOTB] MikroTik syslog.
3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.
4. На шаге Проверка параметров нажмите Сохранить и создать сервис.
5. Скопируйте появившуюся команду для установки коллектора KUMA.