家里WiFi时快时慢,后台总在偷偷传数据?公司网络突然卡顿,却找不到哪台设备在拖后腿?很多人调路由器,还停留在“重启大法”和“改个信道”的阶段——其实,真正的问题藏在日志里。
日志不是摆设,是路由器的行车记录仪
主流企业级路由器(比如华三、华为AR系列、OpenWrt软路由)默认都会记录系统日志、NAT会话、DHCP分配、DNS查询甚至HTTP访问摘要。这些日志平时安静躺在/var/log/或syslog服务器上,但一旦配上日志分析平台,立马活过来。比如用ELK(Elasticsearch+Logstash+Kibana)或轻量级的Grafana+Loki,就能把枯燥的文本变成实时图表:谁在凌晨3点狂刷视频、哪个IoT设备每分钟发12次心跳包、某IP反复连接异常端口……
行为追踪,关键看这三类日志
调优前先摸清底细。重点盯紧:
- 连接行为日志:记录每个源IP、目的IP、端口、协议、持续时间。过滤出长时间空闲TCP连接或短连接风暴,往往就是内网扫描或恶意软件征兆;
- DNS解析日志:看到大量*.doubleclick.net、*.taboola.com域名请求?大概率是某台手机装了带广告SDK的APP,在后台静默拉取资源;
- 流量TOP N日志:不用等NetFlow导出,直接从iptables LOG规则或nftables trace日志里抽样统计,5分钟内谁占了70%上行带宽一目了然。
举个实操例子
一台OpenWrt路由器启用了logread + rsyslog转发到本地Loki:
iptables -t mangle -A PREROUTING -s 192.168.2.100 -j LOG --log-prefix "[LAN-DEVICE] "再在Grafana里建个面板,筛选log_label="[LAN-DEVICE]",按source_ip聚合,立刻发现192.168.2.100这台旧安卓平板每小时发起400+ DNS请求,查证后是预装天气APP在轮询获取定位信息——关掉它的后台刷新,2.4G频段干扰直接下降一半。
别只盯着QoS,先让行为看得见
很多人一上来就调QoS限速、改队列算法,结果越调越乱。其实路由调优的第一步,从来不是“怎么压”,而是“谁在动”。日志分析平台做的,就是把不可见的行为变成可读、可比、可回溯的数据流。你不需要写代码,用现成的Filebeat采集+Kibana做几个筛选器,花半小时就能看清整个局域网的脉搏。