Graylogから特定のログをトリガーにアラートをStackStormのWebHookにポストさせる

Graylogで、StreamのCallbackで「HTTP Alarm Callback」というのがバンドルされているのだが、これを使うことでStackStormのWebHookにログの内容をポストできるようなので使ってみることにした。
なお、StackStormのある環境はLAN内となるので、事前にプライベート認証局で証明書を発行してStackStormに設定しておく必要がある。
プライベート認証局を用いたSSL証明書の発行については、こちらを参考に設定してもらいたい。

1.ルートCA証明書のインストール

まずは、StackStorm側で設定したSSLをGraylogで利用...


Graylogからログ監視してアラート発行→Redmineへ自動起票する

Graylogでログ監視を行い、特定のアラートの場合にはRedmineへ自動起票をさせたい。
で、RedmineではRestAPIとメール起票の2パターンあるのだが、Graylogでは有志の作ったプラグインを導入することでRestAPI経由での起票が可能となっている。

なお、前提としてRedmine側で以下の状態であること。

  • RestAPIが有効になっている([管理] > [設定] > [API]から有効にできる)
  • httpsの場合、オレオレ証明書ではないこと(証明書エラーでアクセスできなくなるため)
  • ユーザのAPIキーが存在していること(確認は対象ユーザでログインして[...

Graylog 2.1でGraylog Collector Sidecarで転送するログの暗号化を行う

Graylogで、転送するログの暗号化をしてパケットキャプチャをされても見れないようにする。
普通にただ設定すると、暗号化せずに転送されてしまうため、GELF形式で送ってもこんな感じで中身を見れてしまう。

blacknon@BS-PUB-GRAYLOG:~$ sudo tcpdump -i ens19 port 12201 -X
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens19, link-type EN10MB (Ethernet), capture...