graylog邮件告警内容问题

引自免费微信小程序：皆我百晓生

在Graylog中配置邮件告警时，如果邮件内容未显示自定义字段的值，问题可能出在以下几个方面：

1. 提取器配置： 确保你已经正确配置了提取器，并且在实际日志数据中，hostname、failed_ip、failed_user这三个字段能够被成功提取。检查提取器是否应用到了相应的输入源，以及正则表达式是否能准确匹配目标字段。

2. 事件定义中的字段引用： 在事件定义模块中，你需要确保使用的字段引用语法正确。在模板中应使用${field_name}来引用字段。例如，若要在邮件内容中插入hostname字段，格式应为${hostname}而不是直接写字段名。

3. Notification内容模板： 请确认在Notification（通知）配置中的邮件内容部分，确实使用了正确的字段引用方式。根据您给出的信息摘要，似乎没有提供这部分的具体内容截图（{img2}），但请确保内容类似下面这样：

   Subject: Graylog Alert - ${rule_title}
   Body: 
   Hostname: ${hostname}
   Failed IP: ${failed_ip}
   Failed User: ${failed_user}
   

4. 模拟告警触发条件： 您提到已模拟告警条件进行测试，但邮件内容空白。请验证所模拟的日志事件是否包含上述字段信息，并且这些字段已经被正确提取和关联到当前告警规则下。

5. 邮件通知配置： 检查Graylog的输出插件设置，确保邮件服务器配置正确，同时邮件模板也已启用并保存。

为了进一步排查，请按照以下步骤操作：

• 检查提取器与输入源关联状态：进入“系统”->“提取器”，查看对应提取器是否绑定到了正确的输入源。
• 验证提取器工作情况：通过查询或实时流观察日志事件，确保目标字段已被成功提取并显示在事件详情中。
• 重新审查通知内容模板：确保模板中正确引用了所需字段。
• 复查告警规则：在“告警”->“告警规则”下，再次编辑您的告警规则，确保其触发条件和动作（发送邮件）均正确无误。

通过以上步骤逐一排查，应当能找到问题所在并解决邮件告警不显示自定义内容的问题。