[Anton04]

Цитата barozzzy:

нужен скрипт, который будет проверять не лог на предмет не верной авторизации (api, Winbox, ssh), брать ip адрес и добавлять его в Adress List. »

Зачем так делать? Не лучше ли банально НЕ выставлять порты api, Winbox, ssh голой попой наружу, чтоб к Вам все стучались!?
Закройте порты в наружи и подключайтесь к микроту по VPN или используйте port knocking и не занимайтесь бесполезной фигнёй.

P.S. Буквально два правила port knocking решат Вашу проблему:

Код:

/ip firewall filter
add action=add-src-to-address-list address-list=allow-ip \
    address-list-timeout=1h chain=input comment="icmp allow-ip list" \
    in-interface-list=WAN-list packet-size=123 protocol=icmp
add action=accept chain=input comment="Winbox and SSH" dst-port=22,8291 \
    in-interface-list=WAN-list protocol=tcp src-address-list=allow-ip