===== Отправка сообщений о событиях Graylog =====

=== Общие настройки почты ===

Прежде всего необходимо убедиться в том, что сконфигурированы общие почтовые настройки Graylog. Если наш Graylog развёрнут в docker - их необходимо искать в файле //docker-compose.yml// для Graylog. 

   cat /opt/graylog/docker-compose.yml
;#;
{{:wiki:graylog_email_settings.jpg|}}
;#;

Если они не сконфигурированы - необходимо их настроить и уже потом перенходить к конфигурированию событий отправки. 

=== Notifications ===

Теперь в разделе //notifications// необходимо создать рассылку. Здесь задается конкретная группа или пользователь для получения рассылки, тема письма, его заголовки и др. В дальнейшем мы сможем назначить эту группу для какого-то конкретного триггера по событиям. 

;#;
{{:wiki:graylog_notifications.jpg|}}
;#;

:!: Существует возможность протестировать созданную рассылку, заодно протестировав и общие настройки почты для Graylog. 

=== Event definitions ===

Из раздела //notifications// переходим в //event definitions// для создания конкретных триггеров, которые будут запускать отправку. И нажимаем опцию //Create definition event//. Запустится помощник настройки, который последовательно проведет нас через процесс создания дефиниции.

Самое интересное в процессе - это запрос. Формат поля запроса и его синтаксис полностью инеднтичен запросам, которые в Graylog мы выполняем через штатный //search//. Пример запроса для конкретного сервера Exchange, о критических событиях которого мы хотим получить уведомления. 

   source:exchange01 AND log_level:критический 
:!: Определение //критический// соответствует в точности категории //Windows Event Viewer// (в соответствии с языком установленной на сервере Exchange системы). 

С остальными полями интуитивно понятнее. Пример. 
;#;
{{:wiki:graylog_event_definition.jpg|}}
;#;

На дальнейшем этапе будет предложено создать какие-нибудь кастомные поля для включения в оповещение о событии. Можем пропустить. 

А вот на этапе //Notifications// обязательно выберем набор правил отправки, который мы создали ранее в одноименном разделе конфигурации Graylog. 

;#;
{{:wiki:graylog_event_definition_notif_select.jpg|}}
;#;

После настройки мы должны начать получать оповещения о критических событиях сервера Exchange01, которые мы определили в нашем запросе и которые будут отправлены на адрес, указанный в нашей рассылке. 
{{tag>Graylog Exchange Docker}}