基礎概念

在 Graylog 中，Event Definition 用於檢測符合條件的日誌流，並在條件達成時產生 事件 (Event)。
告警 (Alert) 則是在事件產生後，觸發預先定義的通知的動作。
通知 (Notification) 為告警執行後傳遞訊息的管道，例如 Email、Webhook 等。

接下來的內容會實際帶大家操作一次，從頭建立一個 Event，由於篇幅的緣故，會將建立事件的相關內容分為上下兩篇。

創建第一個事件定義 (上半部)

1. 進入 Alerts & Events → Event Definitions，點選「Create Event Definition」。

2. Event Details：

   • Title：SSH Login Failures
   • Description：檢測 SSH 認證失敗次數
   • Priority：Medium
   • Remediation Steps (Optional)：描述當此事件定義觸發時，應採取的後續處置步驟或建議措施

3. Filter & Aggregation：

   • Filter：source: "ssh" AND message: "Failed password"
   • Search within the last：5 minutes
   • Execute search every：5 minutes
   • Create Events for Definition if：選擇「Aggregation of results reaches a threshold」
   • Group by Field(s)：選擇來源 IP 欄位（如 src_ip）
   • Select Function：count()
   • Threshold：>= 5

   在 Graylog Open 6.3 中，「5 次/5 分鐘」的設定是透過：
   - **Search within the last**：設為 5 分鐘（定義搜尋回溯的時間窗口）
   - **Execute search every**：設為 5 分鐘（定義執行頻率）
   - **Threshold**：在聚合設定中設為 >= 5（定義觸發條件
   

4. To be continued ...