Internet Traffic Log

Internet Traffic Log คือ Log การใช้งานที่ได้รับจากอุปกรณ์ Microtik

การส่ง Internet Traffic Log สามารถใช้งานได้ร่วมกับอุปกรณ์ Microtik เท่านั้นโดยสามารถดูวิธีการตั้งค่าอุปกรณ์ให้ส่ง Internet Traffic Log ได้ตามขั้นตอนดังนี้

ประเภทของ Log file

  1. Firewall Log คือ Log ที่มีการเก็บค่า Internet Traffic จากการเข้าใช้งาน Internet ของผู้ใช้งาน โดยจะเป็น Log มาตรฐานที่ระบุข้อมูล IP Adress ต้นทาง ปลายทาง , Port และ Protocol ที่ใช้งาน

  2. Hotspot Log คือ Log file ที่มีการเก็บค่า การเข้าใช้งานของผู้ใช้งาน คือ Login , Logout และ ข้อมูลทางเครือข่ายที่ระบบ IP Address และ MAC Addess ของผู้ใช้งานนั้นๆ

โดยขนาดของ Log file ประเภท Hotspot.log จะมีขนาดเล็ก (ไม่เกิน 1 MB) เพราะจัดเก็บข้อมูลเฉพาะการ Login-Logout ของผู้ใช้งาน ส่วน Log file ประเภท firewall.log จะมีขนาดใหญ่กว่ามากโดยขนาดของ Logfile จะขึ้นอยู่กับปริมาณ Bandwidth โดยเฉลี่ย ที่ Client มีการใช้งานต่อชั่วโมงโดยมีค่าโดยประมาณตามตารางดังนี้

ทั้งนี้ขนาดของ Log fileอาจจะมีค่าแตกต่างจากตารางขึ้นกับขนาดและปริมาณของ Network Package

รูปแบบของ Log file จะแสดงในรูปแบบดังนี้

" ประเภท.log-ปี-เดือน-วัน-ชั่วโมง.gz"

ระบบจะมีการสร้าง Log ไฟล์โดยอัตโนมัติในรูปแบบของ Zip file นามสกุล.gz ทุกๆชั่วโมงโดยระบบจะจัดเก็บย้อนหลังไว้ 90 วันตามข้อกำหนดของ พรบ. คอมพิวเตอร์ ซึ่งผู้ดูแลระบบสามารถดู Log ไฟล์ตามวันเวลาที่สนใจได้จากการ Filters

Filters สำหรับคัดกรองข้อมูล

ผู้ดูแลสามารถคัดกรองข้อมูลที่แสดงในตารางโดยสามารถดูเฉพาะข้อมูลที่สนใจได้ดังนี้

  • Date Range : กำหนดช่วงเวลาของข้อมูล Login Time

  • Device : กำหนด Log จากอุปกรณ์ อ้างอิงจาก NAS

  • Log Type : กำหนดประเภทของ Log ไฟล์

Internet Traffic Log Table

ข้อมูลในตาราง Log File ในแต่ละคอลัมมีข้อมูลดังนี้

  • File Name : ชื่อของ File

  • File Size : ขนาดของ File

  • Device : MAC Address ของอุปกรณ์ที่ส่งข้อมูล Log นี้มา

  • Log Type : ประเภทของ Log ไฟล์

  • Checksum : ข้อมูลตรวจสอบความถูกต้องของ File โดย Log file ที่จัดเก็บจะถูกจัดเก็บจะถูกทำ checksum ด้วยอัลกอริทีม SHA256 ซึ่งผู้ดูแลระบบสามารถตรวจสอบความถูกต้องของ Log ไฟล์ได้ด้วยการใช้โปรแกรมหรือเครื่องมือออนไลน์ตรวจสอบไฟล์ดังกล่าวด้วย อัลกอริทีม SHA256 ซึ่งถ้าหาก Log ไฟล์ไม่มีการแก้ไขจะได้ผลลัพท์เดียวกันกับที่เก็บไว้ในระบบ สามารถดูตัวอย่างได้จาก check file HASH with SHA256

  • Action : ปุ่ม Download File สำหรับ Download Log file

Logfile ที่ถูกเก็บในระบบจะถูกจัดเก็บในรูปของ .gz file ซึ่งเป็นการย่อขนาด file เพื่อประหยัดพื้นที่ในการจัดเก็บโดยข้อมูล Log file ถูกจัดเก็บไว้ที่ Space Storage ของ Digital Ocean ซึ่งเป็นผู้ให้บริการ CLoud โดยสามารถศึกษาข้อมูลเพิ่มเติมได้จาก

ทั้งนี้ขนาดสูงสุดที่เก็บได้ใน Space จะมีขนาดต่อ File สูงสุดไม่เกิน 5GB ต่อ file ซึ่ง logfile ที่ถูกจัดเก็บจะมีการจัดเก็บแบบ .gz ซึ่งจะมีขนาดที่ลดลงประมาณ 30 เท่าจาก file ต้นฉบับ

ข้อมูลภายใน Log file

ผูัดูแลระบบสามารถ Download และ upzip file (ขนาดจะเพิ่มขึ้นประมาณ 30 เท่า หลังจาก upzip)เพื่อเปิดดูข้อมูลภายใน Logfile โดยใช้ Text Editor ทั่วไปโดยรายละเอียดข้อมูลจะมีดังนี้

ตัวอย่างข้อมูลภายใน Hotspot.log

Feb 26 15:30:30 | 49.231.0.116 |  SEARA--18:FD:74:14:87:FE: User Logout: neen.boonyobhas@gmail.com
Feb 26 15:31:40 | 49.231.0.116 |  SEARA--18:FD:74:14:87:FE: User Login: k@k.com IP: 172.16.10.251 MAC: 1A:24:B3:3A:17:95
Feb 26 15:32:36 | 49.231.0.116 |  SEARA--18:FD:74:14:87:FE: User Logout: pinkiiz_berry@hotmail.com
Feb 26 15:40:56 | 49.231.0.116 |  SEARA--18:FD:74:14:87:FE: User Login: pinkiiz_berry@hotmail.com IP: 172.16.10.43 MAC: 4C:03:4F:D8:E4:BF

แสดงการข้อมูลการ Login-Logout ของผูู้ใช้งานโดยในตัวอย่างแสดงข้อมูลดังนี้

Feb 26 15:30:30  แสดงวันที่และเวลาที่มีการบันทึก Log
49.231.0.116 แสดงข้อมูล IP Address ของอุปกรณ์ที่ส่ง Log file
SEARA--18:FD:74:14:87:FE:  แสดงข้อมูล MAC Address ของอุปกรณ์ NAS ที่ส่ง Logfile
User Login: k@k.com IP: 172.16.10.251 MAC: 1A:24:B3:3A:17:95 ระบุว่าผู้ใช้งานมีการ Login เข้าสู่ระบบโดยแสดงข้อมูล username ,IP address และ mac address ี
User Logout: neen.boonyobhas@gmail.com แสดงข้อมูลของ Username ของผู้ใช้งานที่ Logout ออกจากระบบ

ตัวอย่างข้อมูลภายใน Firewall.Log

Feb 26 14:04:33 | 49.231.0.116 |  SEARA--18:FD:74:14:87:FE: forward: in:theCOMMONS out:WAN, src-mac 3c:06:30:20:7e:ba, proto UDP, , len 1278
Feb 26 14:04:33 | 49.231.0.116 |  SEARA--18:FD:74:14:87:FE: forward: in:theCOMMONS out:WAN, src-mac 3c:06:30:20:7e:ba, proto UDP, 172.16.10.105:51331->142.250.199.4:443, NAT (172.16.10.105:51331->49.231.0.116:51331)->142.250.199.4:443, len 105
Feb 26 14:04:33 | 49.231.0.116 |  SEARA--18:FD:74:14:87:FE: forward: in:theCOMMONS out:WAN, src-mac 3c:06:30:20:7e:ba, proto UDP, 172.16.10.105:51331->142.250.199.4:443, NAT (172.16.10.105:51331->49.231.0.116:51331)->142.250.199.4:443, len 105
Feb 26 14:04:33 | 49.231.0.116 |  SEARA--18:FD:74:14:87:FE: forward: in:theCOMMONS out:WAN, src-mac 8c:85:90:4f:e3:75, proto UDP, 172.16.10.68:50663->8.8.8.8:443, len 1278
Feb 26 14:04:33 | 49.231.0.116 |  SEARA--18:FD:74:14:87:FE: forward: in:theCOMMONS out:WAN, src-mac 8c:85:90:4f:e3:75, proto UDP, 172.16.10.68:50663->8.8.8.8:443, len 1278
Feb 26 14:04:33 | 49.231.0.116 |  SEARA--18:FD:74:14:87:FE: forward: in:theCOMMONS out:WAN, src-mac 8c:85:90:4f:e3:75, proto UDP, 172.16.10.68:50663->8.8.8.8:443, NAT (172.16.10.68:50663->49.231.0.116:50663)->8.8.8.8:443, len 107
Feb 26 14:04:33 | 49.231.0.116 |  SEARA--18:FD:74:14:87:FE: forward: in:theCOMMONS out:WAN, src-mac 8c:85:90:4f:e3:75, proto UDP, 172.16.10.68:50663->8.8.8.8:443, NAT (172.16.10.68:50663->49.231.0.116:50663)->8.8.8.8:443, len 107
Feb 26 14:04:33 | 49.231.0.116 |  SEARA--18:FD:74:14:87:FE: forward: in:theCOMMONS out:WAN, src-mac 8c:85:90:4f:e3:75, proto UDP, 172.16.10.68:50663->8.8.8.8:443, NAT (172.16.10.68:50663->49.231.0.116:50663)->8.8.8.8:443, len 273

แสดงการข้อมูลก Internet Traffic Log ซึ่งเป็นข้อมูล TCP/IP Header จาก Forward Rule ของอุปกรณ์ Microtik โดยมีรายละเอียดดังนี้

Feb 26 14:04:33 แสดงวันที่และเวลาที่มีการบันทึก Log
49.231.0.116 แสดงข้อมูล IP Address ของอุปกรณ์ที่ส่ง Log file
SEARA--18:FD:74:14:87:FE: แสดงข้อมูล MAC Address ของอุปกรณ์ NAS ที่ส่ง Logfile
forward: in:theCOMMONS out:WAN แสดงข้อมูลว่ามาจาก forward chain และชื่อ in-out interface
src-mac 3c:06:30:20:7e:ba แสดง mac address ของ client 
proto UDP แสดงรูปแบบ protocol ที่ใช้งาน เช่น tcp udp icmp         
172.16.10.105:51331->142.250.199.4:443  แสดง IP Address ต้นทาง:Port ต้นทาง ไปยัง IP Address ปลายทาง:Port ปลายทาง
len 1278 แสดงขนาดของ Package
NAT (172.16.10.105:51331->49.231.0.116:51331)->142.250.199.4:443 แสดงข้อมูลการทำ Natwork Address Tranlation จาก private IP address เป็น Public IP address และ port ที่ใช้งาน

การเฝ้าระวังบูรณภาพของข้อมูลอย่างเหมาะสม

เนื่องจากการจัดเก็บ Log เป็นการดำเนินการจัดเก็บผ่านระบบ Cloud ซึ่งทางผู้ใช้บริการสามารถมั่นใจได้ว่าข้อมูลดังกล่าวถูกจัดเก็บอยู่ในอุปกรณ์ ฮาร์ดแวร์ ที่มีความน่าเชื่อถือและมี Uptime มากกว่า 99.99% แต่อย่างไรก็ตามผู้ดูและรบบควรดำเนินการสำรองข้อมูลและตรวจสอบความถูกต้องครบถ้วนของ Log ไฟล์อย่างสม่ำเสมอโดยมีขั้นตอนแนะนำดังนี้

  1. ควรสำรองข้อมูล Log file สำรองทุกๆเดือน โดยสามารถ Download Logfile มาจัดเก็บไว้ที่เครื่องอื่นๆ

  2. ตรวจสอบว่าจำนวน Log file มีความถูกต้องครบถ้วนหรือไม่ โดยในแต่ละอุปกรณ์ NAS จะต้องมี Log file ต่อวันจำนวน 48 ไฟล์ แบ่งเป็ฯ Hotspot.log จำนวน 24 ไฟล์และ Firewall.log 24 ไฟล์แยกตามจำนวนชั่วโมง

  3. ตรวจสอบความคงสภาพของข้อมูล Log ไฟล์ด้วย HASH Function SHA356

Last updated