Mikrotik

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Инструкция применима для MikroTik с RouterOS 6 и 7+

Настройка Mikrotik

Настройка может выполняется с помощью WinBox (рассматривается этот метод), либо через веб-интерфейс MikroTik RouterOS под учетной записью с правами администратора или через командную строку.

Перейдите в раздел System - Logging, во вкладке Actions добавляем новый элемент (по умолчанию используется протокол UDP):

Cохраните настройку, нажав Apply и OK.

Настройка через командную строку:

/system logging action
/system/logging/action> add bsd-syslog=yes name=kuma remote=(KUMA_IP) remote=KUMA_PORT syslog-facility=syslog target=remote

Каждое событие в журналах Mikrotik может находиться одновременно в разных Topics, пример ниже:

В правилах логирования необходимо укаказать Topics, не пересекающиеся в других правилах. Иными словами, нужно создать отдельные правила с указанием отдельных Topics и если необходимо указать исключения, для категорий событий, которые не нужно отправлять на коллектора, установите флаг ! перед Topics. В раскрывающемся списке Action выберите созданное ранее действие kuma, затем нажмите ОК.

Настройка через командную строку:

/system logging
add topics=critical prefix=critical action=kuma

При включении определенных Topics, особенно firewall может возрастать нагрузка на МЭ MikroTik, обращайте внимание на нагрузку системы после влючения логирования, особенно это касается моделей со слабой аппаратной начинкой

Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий MikroTik.

1. На шаге Транспорт укажите тип и порт в соответствии с настройками на стороне MikroTik.

2. На шаге Парсинг событий выберите нормализатор [OOTB] MikroTik syslog.

3. На шаге Маршрутизация проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

Хранилище. Для отправки обработанных событий в хранилище.
Коррелятор. Для отправки обработанных событий в коррелятор.

Если точки назначения Хранилище и Коррелятор не добавлены, создайте их.

4. На шаге Проверка параметров нажмите Сохранить и создать сервис.

5. Скопируйте появившуюся команду для установки коллектора KUMA.

KSC CEF

KSC MS SQL

KSC PostgreSQL

KSC MariaDB

KLMS

KSMG 1.1

KSMG 2.0

KWTS 6.0

KATA

KEDR 4.0-4.1

KEDR 5.0-6.0

KEDR 5.1-6.0 (Телеметрия EDR по API)

KICS 3.1 и ниже

KICS 4.0 и выше

MS DNS

MS DHCP

MS WMI

MS WEC

Настройка подписки WEC с использованием XML фильтра

MS ETW (DNS Analytics)

MS Exchange

MS Windows XP & 2003 SNMP

Аналог netcat с помощью PowerShell на Windows

Мониторинг ключей реестра Windows

Настройка AuditD на Unix системах

Настройка Syslog-ng на Unix системах

Сбор событий AuditD с помощью Rsyslog

Usergate

ViPNet Coordinator

Ideco UTM

Cisco IOS

Настройка отправки событий с FortiGate (CEF)

Континент версия 4

Mikrotik

IIS

Apache Access Syslog

1C:Предприятие (новые версии)

Пересылка многострочных XML-файлов 1C с помощью Linux-агента

1С Битрикс (Bitrix) интеграция с KUMA

Windows Агент NXLog

Linux Агент NXLog

Настройка аудита VMware ESXi и vCenter

Kubernetes (k8s) via Rsyslog

Kubernetes (k8s) via webhook

Docker via syslog

Mikrotik

Настройка Mikrotik

Настройка KUMA

No Comments