在这两篇文章的基础上针对实际工作中遇到的告警场景做了进一步的优化，对接DLP并实现数据安全告警单发给员工主管

具体实现思路

1、使用graylog-plugin-logging-alert插件，来实现构造出机器人单发给用户的json格式消息体

2、监控/var/log/graylog-server/server.log文件，当触发了告警时/var/log/graylog-server/server.log中会出现[LoggingAlert] POST-BODY的日志，监控脚本会自动提取POST-BODY后的内容输出到/tmp/message.json，然后调send_dingtalk_robot函数自动单独发送告警到用户

3、多关键字来实现具体场景告警单独处理

比如关键字1：POST-BODY用来取出机器人单发给用户的json格式消息体，另外一个关键字2"U盘拷贝数据预警通知"则用来匹配DLPU盘拷贝数据这种告警场景

从而满足告警细化到具体场景的需求，单独类型的告警单独处理

4、机器人单发告警用户是否发送成功

通过返回发送结果到运维群中，来确认告警单发给用户是否成功

(图片点击放大查看)