GRAYLOG
ALERTES E-MAIL
Les notifications avec Graylog – Comment envoyer des alertes par e-
mail ?
I. Présentation
II. Graylog : configuration SMTP pour envoyer des e-mails
III. Graylog : configuration des alertes par e-mail
o A. Créer un nouveau Stream
o B. Créer un nouveau type de notification
o C. Créer une nouvelle alerte
o D. Tester l'alerte
IV. Conclusion
Graylog est capable de stocker, d'indexer et d'analyser les
journaux de vos appareils. Ce n'est pas tout : il peut aussi vous
envoyer une notification lorsqu'un événement spécifique est
détecté. La solution peut envoyer des notifications par e-mail,
sur Slack, sur Microsoft Teams, ainsi que d'autres méthodes.
Dans ce tutoriel, nous allons apprendre à configurer Graylog
pour qu'il soit capable d'envoyer des e-mails via un serveur
SMTP, puis nous verrons comment configurer une première
alerte. Ici, nous prendrons l'exemple suivant : recevoir un e-
mail quand une connexion SSH en échec est détectée sur un
hôte.
Nous partons du principe que le serveur Graylog est en place et
qu'une machine Linux envoi ses logs sur ce serveur par
l'intermédiaire de Rsyslog.
D'autres articles sur la thématique Graylog sont disponibles sur notre site, notamment :
Déployez Graylog sur Debian 12 pour centraliser et analyser vos logs facilement
Envoyer les logs Linux vers Graylog avec rsyslog
Envoyer les logs Windows vers Graylog avec NXLog
�II. Graylog : configuration SMTP pour envoyer des e-mails
La première étape consiste à ajuster la configuration de Graylog pour qu'il soit capable
d'envoyer des e-mails. Vous allez voir configurer le serveur SMTP, le numéro de port,
l'adresse e-mail de l'expéditeur, etc... dans le fichier de configuration "[Link]" de
Graylog.
Connectez-vous au terminal de votre serveur Graylog afin d'éditer le fichier de configuration :
Au sein de ce fichier, les paramètres pour configurer le serveur SMTP sont déjà présents, mais ils sont
commentés (et donc inactifs). L'envoi des e-mails est désactivé par défaut, ce qui est normal puisque
c'est à vous de configurer les notifications en fonction de votre environnement. Les paramètres à
éditer ont un nom qui commence par "transport_email".
Vous devez activer l'envoi par e-mail (transport_email_enabled) et configurer les différents
paramètres afin de préciser le nom du serveur SMTP (transport_email_hostname), le numéro de
port à utiliser (transport_email_port) et les identifiants. Si vous souhaitez vous authentifier via Gmail
(Google), vous pouvez utiliser un mot de passe d'application (recommandé), sinon adaptez à votre
environnement. Indiquez un nom d'utilisateur (transport_email_auth_username), un mot de passe
(transport_email_auth_password), ainsi qu'une adresse e-mail expéditeur qui sera utilisée par
�Graylog (transport_email_from_email).
�III. Graylog : configuration des alertes par e-mail
A. Créer un nouveau Stream
Désormais, nous allons créer un nouveau Stream pour récupérer les messages de logs
correspondants à nos besoins. En l'occurrence, les messages faisant référence à une connexion
SSH échouée. Si l'on configure un nouveau Stream, ce n'est pas un hasard : une alerte se
configure vis-à-vis d'un Stream.
À partir de Graylog, cliquez sur le menu "Streams" puis créez un nouveau Stream. Nommez
ce Stream, par exemple "Erreurs de connexion SSH". Conservez l'index nommé "Default
index set", sauf si vous avez déjà un stream particulier pour les journaux Linux (c'est le cas si
vous avez suivi les précédents tutoriels). Pour ma part, l'index nommé "Linux Index" sera
sélectionné.
Dans la liste des Streams, identifiez celui que vous venez de créer, puis en bout de ligne,
cliquez sur "More" et après sur "Manage Rules".
Ajoutez une nouvelle règle avec le bouton "Add stream rule". L'idée étant de créer des
conditions permettant d'isoler les messages correspondants aux connexions SSH
infructueuses. Je vous invite à créer 2 conditions :
� Une condition pour indiquer que le message doit contenir la chaine "Failed
password".
Une condition pour indiquer que le message doit correspondre à l'application "sshd".
Ce qui doit vous donner le résultat suivant :
B. Créer un nouveau type de notification
Dans le menu de Graylog, cliquez sur l'entrée intitulée "Alerts", puis basculez sur l'onglet
"Notifications" afin de cliquer sur "Create notification". Cela va permettre de créer un type
de configuration par e-mail, avec un message personnalisé.
�Un nouvel assistant s'affiche. Commencez par donner un nom à cette notification. Il est envisageable
d'utiliser un template de notification pour plusieurs alertes, donc vous pouvez utiliser un nom plus
générique. Choisissez aussi le type de notification intitulé "Email Notification".
Vous pouvez ensuite définir l'adresse e-mail de l'expéditeur (Sender). Si vous laissez vide, l'adresse
définie dans le fichier "[Link]" sera utilisée. Par contre, vous devez définir le(s) destinataire(s),
�via l'option "Email recipient(s)".
