Una idea... es posible lanzar correos cuando tengamos un alerta grave en firewall? LLevo un rato mirando logs y es casi imposible ver algo?
Bueno. Es posible, depende de lo que quieras decir como "grave".
Lo primero, sería activar la herramienta de correo (yo usaría p.e. el smtp de Movistar, el de gmail es muy quisquilloso si quieres enviar algo desde fuera de lo que tiene controlado):
/tool e-mail
set address=
mailhost.movistar.es from="mirouter <
fulanito.detal@movistar.es>" password=patata \ user=
fulanito.detal@movistar.es
donde user y password son los datos de la cuenta en movistar.es
2) Pongo un logging en la regla firewall que me interesa monitorizar, p.e. una de eliminación de conexiones desde sitios pelmazos:
/ip firewall filter
add action=drop chain=input comment=\
"Drop attackers from Blocked address list" log=yes log-prefix="Attack!: " \
src-address-list=Blocked_address_list
con esto se genera una entrada en el "log" de tipo info,firewall cada vez que alguien de esa lista nos mande un paquete (indeseado).
3) Creamos una acción de "aviso" con envío de email en el logging:
/system logging action
add email-to=
mengano@gmail.com name=aviso target=email
4) Activamos reglas en logging para que envíen avisos, por ejemplo, para firewall, o para error o critical:
/system logging
add action=aviso topics=error
add action=aviso topics=critical
add action=aviso topics=firewall
Así, cada vez que se produzca un error, o un evento crítico o un evento marcado de firewall nos manda un email a
mengano@gmail.com desde "mirouter <
fulanito.detal@movistar.es>"
Por supuesto que cabría otras posibilidades, por ejemplo, haciendo scripts programados, donde es posible hacer un análisis de la gravedad del evento (mira ejemplos de scripts que usan la herramienta de correo en el manual). Pero esto es quizás lo más sencillo (y puede que lo más cercano a lo que tu sugerías, quizás).
Saludos!