WispOSWispOS
Guida MikroTik
Diagnostica e monitoraggioBase

Logging e syslog remoto

Configurare il sistema di log di RouterOS per registrare eventi utili e inviarli in modo sicuro a un server syslog remoto, indispensabile per la diagnostica in ambienti WISP.

RouterOS tiene traccia di ogni evento rilevante (connessioni, firewall, DHCP, PPPoE, errori di sistema) attraverso il sottomenu /system/logging. I log possono essere scritti in memoria, su disco, inviati via email oppure — la soluzione più utile in produzione — trasmessi a un server syslog remoto centralizzato.

Architettura del sistema di log

Esistono due concetti distinti: le action (dove scrivere il log: memoria, disco, email, remote) e le regole (quali topic inviare a quale action). Un topic è una categoria di messaggi: firewall, dhcp, pppoe, system, script, ipsec, wireless, ecc. RouterOS supporta oltre 70 topic.

Passo 1 — Creare un'action verso il server syslog

Aggiungere action remote syslog (UDP porta 514)
# Aggiunge un'action che invia i log via UDP al server 192.168.1.100 porta 514
/system/logging/action/add   name=remote-syslog   target=remote   remote=192.168.1.100   remote-port=514   remote-protocol=udp   remote-log-format=syslog   syslog-facility=daemon   syslog-severity=auto

# Verifica
/system/logging/action/print
Per ambienti ad alta sicurezza preferire remote-protocol=tls (richiede certificato sul server) e abilitare check-certificate=yes. UDP è più semplice ma non garantisce la consegna e trasmette in chiaro.

Passo 2 — Creare le regole di routing dei topic

Regole topic → action remote-syslog
# Invia tutti i topic "critici" al syslog remoto
# Il prefisso ! esclude un sotto-topic (es. !packet esclude raw packets)

/system/logging/add topics=firewall       action=remote-syslog
/system/logging/add topics=account        action=remote-syslog
/system/logging/add topics=system         action=remote-syslog
/system/logging/add topics=pppoe          action=remote-syslog
/system/logging/add topics=dhcp           action=remote-syslog
/system/logging/add topics=script         action=remote-syslog
/system/logging/add topics=ipsec          action=remote-syslog
/system/logging/add topics=critical       action=remote-syslog

# Per debug temporaneo (solo memoria, non remoto)
/system/logging/add topics=debug,!packet  action=memory

# Visualizza le regole attive
/system/logging/print

Leggere e filtrare i log locali

Comandi di consultazione log
# Ultime 20 righe del log
/log/print

# Filtro per topic firewall
/log/print where topics~"firewall"

# Filtro per messaggio contenente "denied"
/log/print where message~"denied"

# Log di un buffer personalizzato (se creato)
/log/print where buffer=memory
Nei WISP è fortemente consigliato centralizzare i log su un server syslog (es. Graylog, Loki, o anche un semplice rsyslog su Linux). Questo permette correlazione degli eventi su più router, indispensabile per risolvere guasti complessi e per la conformità normativa.
  • Topic più utili per WISP: firewall, account, pppoe, dhcp, system, script, critical
  • Usa remote-log-format=cef se invii a un SIEM enterprise (Splunk, QRadar)
  • Usa remote-log-format=syslog per compatibilità massima (Graylog, rsyslog)
  • Non loggare il topic packet in remoto: genera volume enorme e degrada le prestazioni
  • Con syslog-facility puoi separare i log di router diversi sullo stesso server
logsyslogloggingremote logsystem loggingactiontopicsiemauditmonitoraggio eventi

Continua con

SNMP sicuro con SNMPv3Netwatch: monitoraggio host e automazioneStrumenti diagnostici: ping, traceroute, torch e packet snifferGraphing, profiler CPU e bandwidth-test

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS