Ich kann das hinter Graylog liegende Elasitc Search nicht so leicht befragen, weil es in einem abgeschottem Netz liegt. Will ich aber auch gar nicht, weil ich dann z.B. den “Indices to query” angeben muss und was ist ein und wir haben davon 248. Ok, Wildcards werden wahrscheinlich funktionieren.
Bei einer Suche in Graylog muss ich mich nicht darum scheren in welchem Index das Gesuchte liegt.
Das Graylog Web GUI ist eine Single Page Javascript App, die quasi auch nur die API befragt.
Ich habe das mal mit dem Firefox und Wireshark mitgeschnitten: An Graylog geht bei einer Suche ein GET an /api/search/universal/relative?query= und zurück kommt JSON.
Darauf werde ich aufbauen.
An die konfigurierten Graylog Alerts kommt mann über /api/streams/alerts