Ich bin selbst graylog Anfänger.
Mein Plan ist das sich unsere User selbst Alerts in Graylog anlegen.
Die Alerts, die in Graylog aufpoppen/triggern und unresolved sind möchte ich in check_mk sichtbar machen, mit einem Service Icon Link am check will ich dann den Absprung zum Graylog ermöglichen um den Alarm quittieren zu können.
Aber ich glaube ich verstehe was du meinst, ein Alert ist in Graylog kein Item was ich mit check_mk inventarisieren kann, sondern die getriggerten Graylogs Alerts sind Events, richtig ?
Kann sein das das so ist, leider habe ich momentan keine Zeit um das Thema weiter zu verfolgen.
Das Alerm Zeugs in Graylog ist für mich eh verwirrend, man muss sich erste einen Stream anlegen und dort eine oder mehrere Condition anlegen. Ich hoffe das man irgendwie abfragen kann ob diese Condition getriggert hat und diese quasi als check item für checkmk verwenden. Ich weiss es noch nicht ob es geht.
Geholfen hat mir bisher diese Doku http://docs.graylog.org/en/2.4/pages/configuration/rest_api.html insbesondere der “API browser” https://graylog.mycompany.tld/api/api-browser
Ich kann so getriggerte alerts abfragen:
curl --silent --netrc “https://graylog.mycompany.tld/api/streams/alerts” | jq ‘.alerts[] | “(.triggered_at) (.id) (.resolved_at)”’ | head -n2
“2020-01-08T07:36:57.677Z 5e1586998499296d325d0aaa 2020-01-08T07:51:54.841Z”
“2020-01-08T06:09:56.267Z 5e1572348499296d325cf3f9 2020-01-08T06:24:55.536Z”
Oder so Details zu einem Alert
curl --silent --netrc "https://graylog.thalia.de/api/streams/alerts/5e1586998499296d325d0aaa" | jq ''