Differences

This shows you the differences between two versions of the page.

View differences: Side by SideInline Go

Link to this comparison view

Both sides previous revisionPrevious revision 2024/12/20 11:01 jp 2024/12/20 11:01 jp 2024/12/20 10:59 jp 2024/12/20 10:59 jp 2024/12/20 10:58 jp 2024/12/20 10:55 jp 2024/12/20 10:51 jp 2024/12/20 10:50 jp 2024/12/20 10:46 jp 2024/12/20 10:36 jp 2024/12/20 10:30 jp 2024/12/20 10:26 jp 2024/12/20 10:26 jp 2024/12/20 10:25 jp createdGo Next revision		Previous revision 2024/12/20 11:01 jp 2024/12/20 11:01 jp 2024/12/20 10:59 jp 2024/12/20 10:59 jp 2024/12/20 10:58 jp 2024/12/20 10:55 jp 2024/12/20 10:51 jp 2024/12/20 10:50 jp 2024/12/20 10:46 jp 2024/12/20 10:36 jp 2024/12/20 10:30 jp 2024/12/20 10:26 jp 2024/12/20 10:26 jp 2024/12/20 10:25 jp createdGo
отправка_сообщений_о_событиях_graylog [2024/12/20 10:26] – jp		отправка_сообщений_о_событиях_graylog [2024/12/20 11:01] (current) – jp
Line 3:		Line 3:
	=== Общие настройки почты ===		=== Общие настройки почты ===
-	Прежде всего - необходимо убедиться в том, что сконфигурированы общие почтовые настройки Graylog. Если наш Graylog развёрнут в docker - их необходимо искать в файле //docker-compose.yml// для Graylog.	+	Прежде всего необходимо убедиться в том, что сконфигурированы общие почтовые настройки Graylog. Если наш Graylog развёрнут в docker - их необходимо искать в файле //docker-compose.yml// для Graylog.
	cat /opt/graylog/docker-compose.yml		cat /opt/graylog/docker-compose.yml
Line 10:		Line 10:
	;#;		;#;
		+	Если они не сконфигурированы - необходимо их настроить и уже потом перенходить к конфигурированию событий отправки.
		+
		+	=== Notifications ===
		+
		+	Теперь в разделе //notifications// необходимо создать рассылку. Здесь задается конкретная группа или пользователь для получения рассылки, тема письма, его заголовки и др. В дальнейшем мы сможем назначить эту группу для какого-то конкретного триггера по событиям.
		+
		+	;#;
		+	{{:wiki:graylog_notifications.jpg|}}
		+	;#;
		+
		+	:!: Существует возможность протестировать созданную рассылку, заодно протестировав и общие настройки почты для Graylog.
		+
		+	=== Event definitions ===
		+
		+	Из раздела //notifications// переходим в //event definitions// для создания конкретных триггеров, которые будут запускать отправку. И нажимаем опцию //Create definition event//. Запустится помощник настройки, который последовательно проведет нас через процесс создания дефиниции.
		+
		+	Самое интересное в процессе - это запрос. Формат поля запроса и его синтаксис полностью инеднтичен запросам, которые в Graylog мы выполняем через штатный //search//. Пример запроса для конкретного сервера Exchange, о критических событиях которого мы хотим получить уведомления.
		+
		+	source:exchange01 AND log_level:критический
		+	:!: Определение //критический// соответствует в точности категории //Windows Event Viewer// (в соответствии с языком установленной на сервере Exchange системы).
		+
		+	С остальными полями интуитивно понятнее. Пример.
		+	;#;
		+	{{:wiki:graylog_event_definition.jpg|}}
		+	;#;
		+
		+	На дальнейшем этапе будет предложено создать какие-нибудь кастомные поля для включения в оповещение о событии. Можем пропустить.
		+
		+	А вот на этапе //Notifications// обязательно выберем набор правил отправки, который мы создали ранее в одноименном разделе конфигурации Graylog.
		+
		+	;#;
		+	{{:wiki:graylog_event_definition_notif_select.jpg|}}
		+	;#;
		+
		+	После настройки мы должны начать получать оповещения о критических событиях сервера Exchange01, которые мы определили в нашем запросе и которые будут отправлены на адрес, указанный в нашей рассылке.
		+	{{tag>Graylog Exchange Docker}}