| Both sides previous revisionPrevious revisionNext revision | Previous revision |
| отправка_сообщений_о_событиях_graylog [2024/12/20 10:50] – jp | отправка_сообщений_о_событиях_graylog [2024/12/20 11:01] (current) – jp |
|---|
| === Общие настройки почты === | === Общие настройки почты === |
| |
| Прежде всего - необходимо убедиться в том, что сконфигурированы общие почтовые настройки Graylog. Если наш Graylog развёрнут в docker - их необходимо искать в файле //docker-compose.yml// для Graylog. | Прежде всего необходимо убедиться в том, что сконфигурированы общие почтовые настройки Graylog. Если наш Graylog развёрнут в docker - их необходимо искать в файле //docker-compose.yml// для Graylog. |
| |
| cat /opt/graylog/docker-compose.yml | cat /opt/graylog/docker-compose.yml |
| ;#; | ;#; |
| |
| Если они не сконфигурированы - прежде всего необходимо их настроить и уже потом перенходить к настройке событий отправки. | Если они не сконфигурированы - необходимо их настроить и уже потом перенходить к конфигурированию событий отправки. |
| |
| === Notifications === | === Notifications === |
| {{:wiki:graylog_notifications.jpg|}} | {{:wiki:graylog_notifications.jpg|}} |
| ;#; | ;#; |
| | |
| | :!: Существует возможность протестировать созданную рассылку, заодно протестировав и общие настройки почты для Graylog. |
| |
| === Event definitions === | === Event definitions === |
| Из раздела //notifications// переходим в //event definitions// для создания конкретных триггеров, которые будут запускать отправку. И нажимаем опцию //Create definition event//. Запустится помощник настройки, который последовательно проведет нас через процесс создания дефиниции. | Из раздела //notifications// переходим в //event definitions// для создания конкретных триггеров, которые будут запускать отправку. И нажимаем опцию //Create definition event//. Запустится помощник настройки, который последовательно проведет нас через процесс создания дефиниции. |
| |
| Самое интересное в процессе это запрос. Формат поля запроса и его синтаксис полностью инеднтичен запросам, которые в Graylog мы выполняем через штатный //search//. Пример запроса для конкретного сервера Exchange, о критических событиях которого мы хотим получить уведомления. | Самое интересное в процессе - это запрос. Формат поля запроса и его синтаксис полностью инеднтичен запросам, которые в Graylog мы выполняем через штатный //search//. Пример запроса для конкретного сервера Exchange, о критических событиях которого мы хотим получить уведомления. |
| |
| source:exchange01 AND log_level:критический | source:exchange01 AND log_level:критический |
| :!: Определение //критический// соответствует в точности категории Windows Event Viewer (в соответствии с языком установленной на сервере Exchange системы). | :!: Определение //критический// соответствует в точности категории //Windows Event Viewer// (в соответствии с языком установленной на сервере Exchange системы). |
| | |
| | С остальными полями интуитивно понятнее. Пример. |
| | ;#; |
| | {{:wiki:graylog_event_definition.jpg|}} |
| | ;#; |
| | |
| | На дальнейшем этапе будет предложено создать какие-нибудь кастомные поля для включения в оповещение о событии. Можем пропустить. |
| | |
| | А вот на этапе //Notifications// обязательно выберем набор правил отправки, который мы создали ранее в одноименном разделе конфигурации Graylog. |
| | |
| | ;#; |
| | {{:wiki:graylog_event_definition_notif_select.jpg|}} |
| | ;#; |
| | |
| | После настройки мы должны начать получать оповещения о критических событиях сервера Exchange01, которые мы определили в нашем запросе и которые будут отправлены на адрес, указанный в нашей рассылке. |
| | {{tag>Graylog Exchange Docker}} |
