Mam kilka routerów mikrotik, często zmienia się na nich adresacja i potrzebuje ściągać z nich logi, najbardziej popularny program pod linuxa to chyba syslog-ng niestety ma tą przypadłość że trzeba w pliku konfiguracyjnym określić z jakich adresów IP ma odbierać te logi, a te adresy mi się często zmieniają i nie chce za każdym razem wchodzić i wpisywać aktualnych.
Miałem kiedyś NAS od Synology (zbierał logi) i nie trzeba było mu podawać IP routera po prostu wyłapywał wszystko co wpadało , właśnie potrzebuje takiego odpowiednika na linuxa
Sprawdź rsyslog, szukaj tak:
https://www.google.com/search?q=rsyslog+log+server&ie=utf-8&oe=utf-8&client=firefox-b-ab .
Greylog.
Bardzo dziękuje, poczytałem o programie faktycznie chyba najlepszy z możliwych.
Zainstalowałem go na Ubuntu, regułki na zbieranie logów zostawiłem na Mikrotiku takie jakie były gdy logował na Synology ale coś nie przechodzi… możesz podpowiedzieć czy nie zrobiłem błedu w konfiguracji? ma zbierać wszystko co leci po TCP… może trzeba coś odblokować na firewallu linuxa?
Tu masz regułę i port do iptables:
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux_OpenStack_Platform/3/html/Installation_and_Configuration_Guide/Configuring_the_rsyslog_Server.html
Czyli jednak te porty domyślnie ubuntu ma poblokowane, dobra bede próbował, dzieki !
Nawet Wyrocznia nie wie co w Ubuntu jest domyślnie 
sudo iptables -nvLA w ustawieniach samego Grayloga, na tym screenie powyżej wszystko ok ustawione? pod to aby odbierał logi z MT
Uruchom go z opcją debugowania - na obrazku nie za wiele widać. Zobacz co masz pod “More actions”
http://docs.graylog.org/en/2.4/pages/installation/manual_setup.html .
Gdy będę przy komputerze, to spojrzę co i jak na telefonie średnio widać co na sreenie.
Elasticsearch Ci wstał i zapiął klaster? Na MT masz regułki dstnat?
1 polubienie
Faktycznie wszedłem w Greyloga i w zakładc Indices znalazłem taki komunikat :
“We could not get the indices overview information. This usually means there was a problem connecting to elasticsearch and you should ensure elasticsearch is up and reachable form graylog”
Co go boli… nie wiem może spróbuje postawić to na Debianie, 3 dzień z tym się użeram 
Elastic ma ten problem, że czasami trzeba go kopnąć z buta. Kolejny problem jest taki, że lubi się zakolejkować i uruchamia kolejne (nie pamiętam jak to się nazywa) instancje. Trzeba to wyczyścić. W dokumenatcji Elasticsearch znajdziesz odpowiednie polecenie. Odpalasz elastic z palca z użytkownika elasticsearch, restartujesz Greylog i patrzysz czy masz klaster na zielono.
I przy każdym restarcie systemu taka sama sytuacja?
Czasami tk się zdarza, ale generalnie wszystko powinno wstać od razu. Zobacz z jakim użytkownik uruchamia się usługa.
Problem był banalny, port zostawiłem 514 (tak jak było w syslog-ng) zmieniłem na inny powyżej 1000 i poszło elegancko udp. Coś narazie TCP nie mogę dojść o co chodzi (czy źle ustawione na mt czy greylog ma jakieś problemy ze zbieraniem tcp). Muszę też zmienić ścieżkę do zbierania logów bo mam dwa dyski… 
Ja mam greylog na porcie powyżej 30000. Generalnie nie ma problemów ze zbieraniem logów. W koncu to urządzenie wysyła logi do greyloga. Bardziej szukałabym problemu w MT.
@roobal , pomóż coś bo jak nie ty to nikt. 
cały dzień siedziałem dzisiaj nad tym… regułki i przekierowania na MT mam zrobione tak samo jak te które szły wcześniej na sysloga-ng,
na firewallu mam dwie regułki - TCP - jeden z flaga Syn a drugim Fin, i normalnie widać że ruch na nich idzie, dlatego podejrzewam greyloga z mikrotika tcp wychodzą wiadomo tak samo jak udp na ten sam adres IP i Port serwera co UDP no i UDP loguje pięknie, a TCP nie ;(
tak to wyglada
Właśnie napisali na forum grayloga że TCP z mikrotika nie przejdzie … 