將Router Syslog日誌傳送至PRTG日誌伺服器

將Syslog日誌傳送至系統日誌伺服器,方便進行網路流量監控與安全事件分析

我們可以輕鬆將 Router管理 的 Syslog伺服器 整合到 IT監控系統,確保所有 日誌監控 資訊一目了然📊!無論是 伺服器日誌 還是 網路設備監控,都能讓你的 資訊安全 更上一層樓。

使用Vigor2925與PRTG

將Router Syslog日誌傳送至PRTG日誌伺服器

↑PRTG建立路由器的syslog sensor

將Router Syslog日誌傳送至PRTG日誌伺服器

↑路由器要開啟syslog,並設定PRTG的IP,才能傳送紀錄

SYSLOG解析

[FILTER][Pass][LAN/RT/VPN->WAN,11:53:14 ][@S:R=13:1,192.168.2.15:51533->18.136.96.185:443][TCP][HLen=20, TLen=141,Flag=AP, Seq=2675456211, Ack=2091382517, Win=2835]

訊息結構:

[FILTER][Pass]:
表示這條訊息是由防火牆過濾器產生的,並且該流量已被允許通過(Pass)。
[LAN/RT/VPN->WAN]:
表示流量的方向,從內部網路(LAN)、路由(RT)或虛擬私人網路(VPN)發送到廣域網路(WAN)。
[11:53:14]:
表示事件發生的時間,即 11:53:14。
[@S:R=13:1]:
這部分可能表示一些內部標記或設備狀態,具體含義可能因設備而異。
[192.168.2.15:51533->18.136.96.185:443]:
這部分表示流量的來源和目的地。
192.168.2.15 是來源 IP 位址,51533 是來源通訊埠。
18.136.96.185 是目的地 IP 位址,443 是目的地通訊埠。
而443埠代表的是HTTPS的流量。
[TCP]:
表示使用的傳輸協定是 TCP。
[HLen=20, TLen=141]:
HLen 表示 IP 標頭長度(20 位元組),TLen 表示 TCP 封包總長度(141 位元組)。
[Flag=AP, Seq=2675456211, Ack=2091382517, Win=2835]:
這部分表示 TCP 封包的詳細資訊。
Flag=AP 表示設置了 ACK 和 PUSH 標誌。
Seq 和 Ack 分別表示序列號和確認號。
Win 表示視窗大小。

將Router Syslog日誌傳送至PRTG日誌伺服器
將Router Syslog日誌傳送至PRTG日誌伺服器

綜合分析:

這條 Syslog 訊息記錄了一次從內部網路(192.168.2.15)到外部網路(18.136.96.185)的 HTTPS 流量(TCP 通訊埠 443)。
防火牆規則允許了這次流量的通過。
您可以根據目的地 IP 位址(18.136.96.185)來判斷流量的目的地伺服器或服務。
而192.168.2.15為內部網路的電腦,有可能是公司內部的員工,在進行瀏覽網站的行為。

關於作者 多力哥
將Router Syslog日誌傳送至PRTG日誌伺服器
影像創作攝影師/網頁動畫設計師/系統網路工程師/水草研究生
景文科大畢業後,我成為一名網站動畫設計師,並副修MIS電腦資訊管理。2004年,我開始接觸單眼相機,並在2008年正式成為一名接案攝影師,目前使用Canon系統進行拍攝。2016年,我愛上了美麗的水草缸,這讓我的生活多了另一層次的放鬆。每天在電腦前修圖時,能欣賞紅吱吱、綠油油的水草,彷彿多了一份平靜與愉悅。攝影與水草讓我的生活充滿了藝術與自然的交融。
連絡信箱:hello@hahasmile.com (歡迎合作提案)
DORIGO IMAGE 攝影工作室:https://dorigo-image.com
如果你喜歡我的內容,可以用行動贊助我一杯咖啡☕,支持我持續創作,也讓這個網站可以繼續營運下去喔!

若您喜歡這篇文章,歡迎按讚分享喔!
0 回復

發表評論

想要留言嗎?
歡迎歡迎!

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *