1、首先编辑并添加邮件配置到server.conf(注意:是添加)
vim /etc/graylog/server/server.conf
# Email transport
transport_email_enabled = true
transport_email_hostname = smtp.qq.com
transport_email_port = 465
transport_email_use_auth = true
transport_email_auth_username = xxxxxx@qq.com
transport_email_auth_password = xxxxxxxxx
transport_email_subject_prefix = [graylog]
transport_email_from_email = xxxxxx@qq.com
transport_email_use_tls = false
transport_email_use_ssl = true
2、创建一个新用户
3、在Alerts中,单击右侧Notifications?->?Create 创建一个告警类型
收到一封测试邮件
4、在Alerts中选择Event Definitions,来进行告警事件规则的创建。Priority是告警等级,可以按照实际形况选择,完成后点击下一步Next
5、验证
? ? ?Linux服务器上进行爆破:watch -n 1 "hydra -l root -p admin@123 192.168.*.*?ssh"
6、控制频率,因为ssh爆破是很频繁的
把频率改为1分钟爆破6次才报警