Also weiss jetzt wie ich es mache. Man kann bei jedem Stream die alerts abfragen und ob die getriggert haben:
curl --insecure --user <apitoken>:token -silent https://graylog.mycompany.tld/api/streams/<hex-stream-id>/alerts/check | jq -r '.results[] | "\(.condition.title)|\(.triggered)"'
Alert CRIT: Ausgelieferte 500er stark erhöht|false
Alert CRIT: Ausgelieferte 403er Richtung AKAMAI|false