將Router Syslog日誌傳送至PRTG日誌伺服器

將Syslog日誌傳送至系統日誌伺服器，方便進行網路流量監控與安全事件分析

我們可以輕鬆將 Router管理 的 Syslog伺服器 整合到 IT監控系統，確保所有 日誌監控 資訊一目了然📊！無論是 伺服器日誌 還是 網路設備監控，都能讓你的 資訊安全 更上一層樓。

使用Vigor2925與PRTG

↑PRTG建立路由器的syslog sensor

↑路由器要開啟syslog，並設定PRTG的IP，才能傳送紀錄

SYSLOG解析

[FILTER][Pass][LAN/RT/VPN->WAN,11:53:14 ][@S:R=13:1,192.168.2.15:51533->18.136.96.185:443][TCP][HLen=20, TLen=141,Flag=AP, Seq=2675456211, Ack=2091382517, Win=2835]

訊息結構：

[FILTER][Pass]：
表示這條訊息是由防火牆過濾器產生的，並且該流量已被允許通過（Pass）。
[LAN/RT/VPN->WAN]：
表示流量的方向，從內部網路（LAN）、路由（RT）或虛擬私人網路（VPN）發送到廣域網路（WAN）。
[11:53:14]：
表示事件發生的時間，即 11:53:14。
[@S:R=13:1]：
這部分可能表示一些內部標記或設備狀態，具體含義可能因設備而異。
[192.168.2.15:51533->18.136.96.185:443]：
這部分表示流量的來源和目的地。
192.168.2.15 是來源 IP 位址，51533 是來源通訊埠。
18.136.96.185 是目的地 IP 位址，443 是目的地通訊埠。
而443埠代表的是HTTPS的流量。
[TCP]：
表示使用的傳輸協定是 TCP。
[HLen=20, TLen=141]：
HLen 表示 IP 標頭長度（20 位元組），TLen 表示 TCP 封包總長度（141 位元組）。
[Flag=AP, Seq=2675456211, Ack=2091382517, Win=2835]：
這部分表示 TCP 封包的詳細資訊。
Flag=AP 表示設置了 ACK 和 PUSH 標誌。
Seq 和 Ack 分別表示序列號和確認號。
Win 表示視窗大小。

綜合分析：

這條 Syslog 訊息記錄了一次從內部網路（192.168.2.15）到外部網路（18.136.96.185）的 HTTPS 流量（TCP 通訊埠 443）。
防火牆規則允許了這次流量的通過。
您可以根據目的地 IP 位址（18.136.96.185）來判斷流量的目的地伺服器或服務。
而192.168.2.15為內部網路的電腦，有可能是公司內部的員工，在進行瀏覽網站的行為。