Graylog Email alert

本篇是在記錄怎麼修改 Email alert 樣版及設定

運行環境


Graylog 3.2.1

設定過程


  • 在選擇列選擇 Alerts -> Event Definitions -> Create Event Definition 新增事件

graylog-alerts-01.png

  • 事件名稱

graylog-alerts-02.png

  • 選擇條件

graylog-alerts-03.png

  • 填入想要的條件,那系統預設是 1 執行一次,這可自行修改

graylog-alerts-04.png

  • 自行下條件,例如:訊息異常 3 次就選擇統計訊息異常大於 3 次

graylog-alerts-05.png

  • 這個事件選擇不一定要選

graylog-alerts-06.png

  • 選擇通知樣版

graylog-alerts-07.png

  • 圖示已說明

graylog-alerts-08.png

  • 圖示已說明

graylog-alerts-09.png

  • 通知有新版跟舊版,那如果想要有網址功能請選擇舊版的,如果沒有想要網址功能就可以直接選擇新版。

graylog-alerts-13.png

  • 圖示已說明

graylog-alerts-10.png

  • 圖示已說明

graylog-alerts-11.png

  • 如果確認沒有問題,就直接按完成

graylog-alerts-12.png

  • 此畫面是用測試通知新版的樣版畫面

graylog-alerts-14.png

  • 此畫面是用測試通知舊版的樣版畫面

graylog-alerts-15.png

樣版範本


  • 舊版的
##########
Alert Description: ${check_result.resultDescription}
Date: ${check_result.triggeredAt}
Stream ID: ${stream.id}
Stream title: ${stream.title}
Stream description: ${stream.description}
Alert Condition Title: ${alertCondition.title}
${if stream_url}Stream URL: ${stream_url}${end}

Triggered condition: ${check_result.triggeredCondition}
##########

${if backlog}Last messages accounting for this alert:
使用者:${message.fields.FG_User}
連線設備:${message.fields.FG_Devname}
連線時間:${message.fields.FG_Date} -- ${message.fields.FG_Time}
連線狀況:${message.fields.FG_Action}
來源IP:${message.fields.FG_Remip}
取得IP:${message.fields.FG_Tunnelip}

以下是完整訊息
${foreach backlog message}${message}
${end}${else}<No backlog>
${end}
  • 新版的
--- [Event Definition] ---------------------------
Title:       ${event_definition_title}
Description: ${event_definition_description}
Type:        ${event_definition_type}
--- [Event] --------------------------------------
Timestamp:            ${event.timestamp}
Message:              ${event.message}
Source:               ${event.source}
Key:                  ${event.key}
Priority:             ${event.priority}
Alert:                ${event.alert}
Timestamp Processing: ${event.timestamp}
Timerange Start:      ${event.timerange_start}
Timerange End:        ${event.timerange_end}

Fields:
${foreach event.fields field}  ${field.key}: ${field.value}
${end}
${if backlog}
--- [Backlog] ------------------------------------
Last messages accounting for this alert:
${foreach backlog message}
使用者:${message.fields.FG_User}
連線設備:${message.fields.FG_Devname}
連線時間:${message.fields.FG_Date} -- ${message.fields.FG_Time}
連線狀況:${message.fields.FG_Action}
來源IP:${message.fields.FG_Remip}
取得IP:${message.fields.FG_Tunnelip}

以下是完整訊息
${message}
${end}
${end}



參考相關網頁