colinardo
27.02.2025, aktualisiert 02.03.2025
view5162
view0
8
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

Mikrotik Scripting - Router-Log schnell nach Zeit filtern

AnleitungMikroTik Entwicklung
Inhaltsverzeichnis
Beispiel: Zeige nur die Events innerhalb der letzten Stunde (berücksichtigt die Zeitzone des Routers):
Beispiel: Zeige alle Events seit Mitternacht des heutigen Tages
Beispiel: Zeige die Events zwischen zwei bestimmen Datumswerten:
Beispiel: Speichere die Events innerhalb der letzten Stunde in einer Variablen
Beispiel: Zeige die Events zwischen zwei Datumswerten und zusätzlich mit dem String "logged in" im Body des Events
Wichtige Hinweise

Oft braucht man nur eine eingeschränkte Anzahl an Log-Events zwischen zwei Datumswerten oder innerhalb einer bestimmen Zeit wie bspw. der letzten Stunde. Es gibt hierzu bereits einige Lösungen, aber viele davon sind eher lang und nutzen zusätzliche Variablen und Schleifen. Das war auch hauptsächlich der Grund warum ich mir eine kürzere Variante dafür überlegt habe.

Mit folgendem Trick lassen sich die Filterfunktionen von print where und find dazu benutzen um Einträge nach Datum zu selektieren. Der eigentliche Trick hierbei ist das man die Eigenschaften/Spalten des Logs als Variable in der Filter-Beschreibung nutzen kann, jedoch dürfen diese nicht wie sonst normale Variablen mit vorangestelltem Dollarzeichen ausgezeichnet werden sondern mit ihrem Namen und geklammert: "(Eigenschaft)". Diese Methode ist so gut wie nirgendwo vernünftig dokumentiert, deswegen auch noch nicht weit verbreitet, aber wie man sehen kann, sehr nützlich. Man kann sie auch in anderen Befehlen welche das Filtern mittels "print" und "find" zulassen, anwenden. Es folgen ein paar Beispiele.

back-to-topBeispiel: Zeige nur die Events innerhalb der letzten Stunde (berücksichtigt die Zeitzone des Routers):

/log print where (([:timestamp]+([/system clock get gmt-offset]."s"))-[:totime (time)]) < 1h

Als Zeitbereich könnt ihr entweder die Kurzversionen mit Einheits-Suffix benutzen wie d(Tage),h(Stunden), m(Minuten), s(Sekunden), oder als Timecode angeben: 00:15:00 (hh:mm:ss). Wer es noch effizienter haben will, speichert sich die Berechnung des aktuellen Timestamps vorher in einer Variablen, dann muss diese Berechnung vom Interpreter nicht für jede Logzeile wiederholt werden.

back-to-topBeispiel: Zeige alle Events seit Mitternacht des heutigen Tages

/log print where [:totime (time)] >= [:totime [/system clock get date]]

back-to-topBeispiel: Zeige die Events zwischen zwei bestimmen Datumswerten:

/log print where [:totime (time)] > [:totime "2025-02-27 00:00:00"] && [:totime (time)] < [:totime "2025-02-28 00:00:00"]

back-to-topBeispiel: Speichere die Events innerhalb der letzten Stunde in einer Variablen

# Assoziatives Array mit print Befehl und "as-value" ausgeben 
:global MYLOG [/log print as-value where (([:timestamp]+([/system clock get gmt-offset]."s"))-[:totime (time)]) < 1h]  
# gleiches Prinzip funktioniert auch mit dem "find" Befehl 
:global MYLOG [/log find (([:timestamp]+([/system clock get gmt-offset]."s"))-[:totime (time)]) < 1h]

Wie immer lässt sich das ganze auch mit zusätzlichen Spalten bei der Suche kombinieren

back-to-topBeispiel: Zeige die Events zwischen zwei Datumswerten und zusätzlich mit dem String "logged in" im Body des Events

/log print where [:totime (time)] > [:totime "2025-02-27 00:00:00"] && [:totime (time)] < [:totime "2025-02-28 00:00:00"]  && message ~ "logged in"

back-to-topWichtige Hinweise

Die oben aufgeführte Methode funktioniert erst ab RouterOS Version 7.17 zuverlässig. Der Grund ist, dass davor die Zeit-Spalte mit inkonsistenten Formaten geführt wurde, also Events des aktuellen Tages nicht ISO-Konform aufgeführt waren. Deshalb musste man dort mit zusätzlichen If-Checks arbeiten. Da in den aktuellen Releases die Zeit nun durchgängig ISO-Konform im Log aufgeführt wird, sind diese Workarounds jetzt nicht mehr nötig.

Gruß @colinardo
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 671663

Url: https://administrator.de/tutorial/mikrotik-scripting-router-log-schnell-nach-zeit-filtern-671663.html

Ausgedruckt am: 05.07.2025 um 22:07 Uhr

AnleitungMikroTik Entwicklung
Serie: Mikrotik Scripting
Mikrotik Scripting - Router-Log schnell nach Zeit filternMikrotik Scripting - Quickly filter Router-Log by datetime (englisch)Mikrotik Scripting - Parameter "place-before" nutzen um FW-Regeln "nach" anderen anzulegenMikrotik Scripting: Using the "place-before" parameter to place fw rule "after" other rule (englisch)Mikrotik Scripting: Resolve Domain to IPv6 Address (englisch)1Mikrotik Scripting: Domain zu IPv6 Adresse(n) auflösen1
Mehr von colinardocolinardoOpenSSH Server v10.0 - Mögliche Inkompatibilitäten mit Clients oder SSH-BibliothekencolinardocolinardoMikrotik Scripting - Parameter "place-before" nutzen um FW-Regeln "nach" anderen anzulegencolinardocolinardoW11 24H2 Installationsmedien mit integrierten Okt. oder Nov. 24 Updates defektcolinardo - 9 KommentarecolinardoZabbix - SQL injection vulnerability (CVE-2024-42327)colinardo - 9 Kommentare
Heiß diskutiert
Yan2021Nach Austausch von Verzeichnis-Icons sind die Verzeichnisse nicht mehr sichtbarYan2021 - 29 KommentareSPOK71Bitte um Einrichtung eines Entwicklungsbereichs Künstliche IntelligenzSPOK71 - 28 KommentaredergaertnerProbleme mit Netzwerkverbindung bzw. Internetdergaertner - 25 KommentareVisuciusSynology und die Abzock-ArieVisucius - 23 KommentareTurnschuhITM365 Störung - Weiß jemand was da los ist?TurnschuhIT - 22 KommentarenachgefragtOutlook Crashnachgefragt - 20 KommentareBAMA1971Microsoft lehnt Mails ab. Microsoft hat aber kein Problem mit meinen MailsBAMA1971 - 19 KommentareadmtechEntwicklertagebuch: Release 7 - Neuer Aufbauadmtech - 18 KommentaresupertuxMails kommen nicht am Mailserver ansupertux - 17 Kommentare