Log del Router: Come Leggerli e Usarli per Diagnosticare la Rete

Quando la connessione è instabile, quando un dispositivo non ottiene IP o quando il router si riavvia senza motivo, i log di sistema sono il punto di partenza per qualsiasi diagnosi. Non la velocità del ping, non il riavvio del router — i log.

Dove si trovano i log del router

Dipende dall'apparato:

• Router consumer (TP-Link, ASUS, Netgear): sezione Advanced > System Log o simile nell'interfaccia web
• MikroTik: /log print da terminale oppure Winbox → Log
• pfSense/OPNsense: Status → System Logs, suddivisi per categoria (firewall, DHCP, PPP, ecc.)
• Modem/ONT dell'operatore: spesso accessibili via 192.168.1.1 o 192.168.100.1, con log limitati

Su Linux (es. router basati su OpenWRT):

logread -f          # equivalente di tail -f per syslog
logread | grep ppp  # filtrare per sottosistema

Struttura di un messaggio di log

Ogni riga ha tipicamente questo formato:

Jun  5 10:23:41 router pppd[1234]: LCP: timeout sending Config-Requests

• Data e ora — fondamentale per correlare eventi
• Hostname — utile in ambienti multi-apparato
• Processo/servizio — pppd = PPPoE daemon, dnsmasq = DHCP/DNS, hostapd = Wi-Fi
• Messaggio — il testo da interpretare

Messaggi frequenti e cosa significano

PPPoE / Connessione WAN

DHCP

Firewall

Su pfSense/OPNsense i log firewall mostrano ogni pacchetto bloccato:

Jun 5 10:45:12 pfSense filterlog: 4,,,1000000103,em0,match,block,in,4,0x0,,64,12345,0,DF,6,tcp,60,203.0.113.5,192.168.1.50,45678,22,0

Campi chiave: interfaccia (em0), azione (block), protocollo (tcp), IP sorgente/destinazione, porta.

Se vedi tentativi ripetuti sulla porta 22 (SSH) o 3389 (RDP) dall'esterno, hai uno scanner automatico che testa il tuo IP pubblico — normale su Internet, ma motivo per blindare l'accesso.

Filtri utili per diagnosi rapida

Su MikroTik (Winbox → Log, oppure CLI):

/log print where topics~"ppp"       # solo eventi PPPoE
/log print where topics~"dhcp"      # solo DHCP
/log print where message~"error"    # tutti gli errori

Su OpenWRT/Linux:

logread | grep -iE "error|fail|down|disconnect" | tail -50
logread | grep "$(date +'%b %e')"   # solo i log di oggi

Su pfSense — usa i filtri grafici per IP sorgente, interfaccia o azione (pass/block).

Correlazione temporale: la tecnica più utile

Il metodo più efficace non è cercare singoli messaggi ma correlare timestamp:

1. L'utente dice "la rete cade ogni sera verso le 22"
2. Vai ai log e filtra quell'orario
3. Cerca sequenze tipo: PPPoE disconnected → 30 secondi di silenzio → PPPoE connected
4. Controlla se la disconnessione è preceduta da errori CRC, timeout o flap di interfaccia

Se i drop sono regolari e la durata è sempre simile (es. 3-5 minuti), è probabile un timeout di sessione configurato dall'ISP (tipico su alcune configurazioni BRAS). Se invece i drop sono casuali e brevi, guarda verso il cavo fisico o l'ONT.

Invio log remoto: syslog centralizzato

Per ambienti con più apparati (es. un ISP, una PMI con più sedi), configurare un server syslog centralizzato permette di correlare eventi tra dispositivi diversi:

• Graylog o Loki + Grafana per ambienti strutturati
• syslog-ng o rsyslog per soluzioni leggere
• Su MikroTik: /system logging action add name=remote remote=192.168.1.100 remote-port=514 target=remote

Con log centralizzati puoi, ad esempio, vedere che il router di sede A si è riconnesso esattamente 2 secondi dopo che il firewall ha loggato una perdita di uplink — informazioni impossibili da ottenere guardando i dispositivi uno alla volta.

Cosa non trovi nei log di default

I log standard non mostrano:

• Traffico applicativo (URL, contenuto delle sessioni)
• Statistiche di banda per IP (serve NetFlow/IPFIX)
• Errori fisici sulla fibra (serve l'interfaccia di gestione dell'ONT)

Per questi livelli di dettaglio servono strumenti separati: SNMP polling, sonde di rete, o accesso diretto all'ONT/OLT.

---

La lettura sistematica dei log riduce drasticamente il tempo di diagnosi. Non è una pratica riservata ai sistemisti esperti — è semplicemente sapere dove guardare prima di procedere per tentativi.