前言
内容接上篇文章:笔记(六):n8n——流程测试,本篇介绍Graylog如何新增和配置告警,以及如何将告警发送给n8n,再通过手动触发的方式产生告警进行测试。
测试计划使用Ping的方式手动触发,所以配置内容将以此为基础。首先说明一下事件(Event)和通知(Notification)的关系;事件是配置一个触发条件(等价于对日志设置一个搜索条件),当一个新收集的日志满足条件时,将会生成一个新事件,对已收集的日志不会进行追溯和触发;通知,被作为告警使用,是一个对外部平台发出接口请求的功能,在一个事件的配置中可以关联一个或多个通知,实现同时向多个平台发出告警。
操作说明
(1)新建一个通知。
新建通知
通知编辑(上)
通知编辑(下)
n8n侧执行结果(报错)
在Webhook节点查看接收内容
(2)新建一个事件,并关联通知。
新建事件
基本信息
搜索条件(上)
搜索条件(下)
自定义字段
关联通知(上)
关联通知(下)
(3)手动触发事件,即同时发出告警。具体操作是用笔记本Ping一个外网地址,形成飞塔防火墙的日志,Graylog收集日志、触发事件然后发出告警。上面的步骤中已将笔记本IP:172.16.3.114写入搜索条件,由于笔记本处于DHCP环境下,IP会变更,下面截图按当前IP操作。
确认开启
笔记本Ping
生成事件
n8n侧验证接收告警
其他说明
(1)笔记本Ping一个包是为了方便观察。
(2)Graylog有两条日志满足条件并生成事件,原因是首个日志对应飞塔防火墙UTM的检查功能,另一个日志对应Ping的流量。
(3)两个日志均符合app:Ping AND srcip:172.16.3.117这个搜索条件(注意IP已变更,同时也修改事件中的搜索条件)。如果不想让UTM日志触发事件,则可以细化事件的搜索条件为:app:Ping AND srcip:172.16.3.117 AND type:traffic。
(4)正好两个事件触发两次告警,在n8n侧执行两次流程,便于对照流程的逻辑,即查询无果则新增,查询有则不处理,将在下个笔记中展示说明。
