Nachdem im zweiten Teil gezeigt wurde, wie Alarme für bestimmte Ereignisse des Systemlogs generiert werden können, widmen wir uns in diesem Blogbeitrag der Einrichtung des Mailversands und dessen Konfiguration über die Webseite.
Hierzu muss man zunächst, wie bereits im letzten Teil erwähnt, den Mailversand in der Serverkonfiguration aktivieren und konfigurieren.
Wie das funktioniert und welche Parameter dafür gesetzt werden müssen, erfährt man direkt von Graylog:
https://docs.graylog.org/v1/docs/server-conf#email
Vorgabe und Beispiel laut Webseite:
- transport_email_enabled = false
- transport_email_hostname = mail.example.com
- transport_email_port = 587
- transport_email_use_auth = true
- transport_email_use_tls = true
• Enable SMTP with STARTTLS for encrypted connections.
- transport_email_use_ssl = false
• Enable SMTP over SSL (SMTPS) for encrypted connections.
- transport_email_auth_username = you@example.com
- transport_email_auth_password = secret
- transport_email_subject_prefix = [graylog]
- transport_email_from_email = graylog@example.com
Am besten die Webseite als Vorlage offenhalten und die Konfiguration des Graylog-Servers mithilfe der Kommandozeile und folgendem Befehl starten:
sudo nano /etc/graylog/server/server.conf
Mit „Strg+W“ sucht man nach transport_email.
Hier stehen nun die Parameter für den Mailversand, welche auf der Webseite erwähnt wurden. Allerdings sind diese zurzeit noch auskommentiert. Die Raute, auch Hashtag genannt, dient in Konfigurationsdateien als Kommentarfunktion. Somit werden die darauffolgenden Zeichen vom Server nicht verwendet. Ein Nutzer kann diese beim Bearbeiten trotzdem einsehen. Somit kann man mit diesen Kommentarfunktionen die Datei strukturieren, Hinweise geben oder Funktionen aktivieren bzw. deaktivieren.
Die Umsetzung in der Kommandozeile sieht wie folgt aus.
Das Passwort ist hier geschwärzt.
Mit „Strg+O“ speichert man die Änderung und verlässt den Editor mit „Strg+X“.
Damit die Änderungen wirksam werden, muss der Dienst neugestartet werden. Hierzu verwenden Sie folgenden Befehl in der Kommandozeile:
sudo systemctl restart graylog-server.service
Mit folgendem Befehl kann man überprüfen, ob der Dienst wieder läuft:
sudo systemctl status graylog-server.service
Zurück auf der Webseite kann mit der Konfiguration der E-Mail-Benachrichtigung fortgefahren werden. Man erstellt eine neue Benachrichtigung und wählt als Benachrichtigungstyp E-Mail aus. Als Sender trägt man die in der server.conf (transport_email_from_email) eingetragene E-Mail Adresse ein. In meinem Fall solvimustest@solvimus.de. Den Betreff und Inhalt der Mail belasse ich hier unverändert. Beim Empfänger kann ein beliebiger Empfänger der Benachrichtigung eingetragen werden. In meinem Fall meine E-Mail-Adresse osse@solvimus.de.
Zum Abschluss wird noch eine Testmail versendet, um die Konfiguration zu testen.
Nun wird die Konfiguration abgeschlossen und der angelegte Alarm und dessen Benachrichtigung getestet.
Dazu geht man zurück in die SSH-Sitzung und generiert erneut 5 fehlerhafte Anmeldeversuche als Root. Nun kurz noch warten, da die Daten zunächst übermittelt werden müssen.
Nach ca. einer halben Minute erhält man die erste E-Mail!
Dieses Beispiel zeigt sehr gut, was mit Graylog auch ohne Enterprise-Lizenz möglich ist.
Somit können weitere Alarme bei nicht auslesbaren M-Bus Zählern, fehlgeschlagenen Reports oder bei der Einwahl ins Mobilfunknetz generiert werden.
