GrayLog日志平台的基本使用-ssh之Email报警

1、首先编辑并添加邮件配置到server.conf（注意：是添加）

vim /etc/graylog/server/server.conf

# Email transport
transport_email_enabled = true
transport_email_hostname = smtp.qq.com
transport_email_port = 465
transport_email_use_auth = true
transport_email_auth_username = xxxxxx@qq.com
transport_email_auth_password = xxxxxxxxx
transport_email_subject_prefix = [graylog]
transport_email_from_email = xxxxxx@qq.com
transport_email_use_tls = false
transport_email_use_ssl = true

2、创建一个新用户

3、在Alerts中，单击右侧Notifications?->?Create 创建一个告警类型

收到一封测试邮件

4、在Alerts中选择Event Definitions，来进行告警事件规则的创建。Priority是告警等级，可以按照实际形况选择，完成后点击下一步Next

5、验证

? ? ?Linux服务器上进行爆破：watch -n 1 "hydra -l root -p admin@123 192.168.*.*?ssh"

6、控制频率，因为ssh爆破是很频繁的

把频率改为1分钟爆破6次才报警