Wazuh Log-Ingestion verstehen: Warum bestehende Dateien ignoriert werden und wie Backfilling korrekt umgesetzt wird

von

Einleitung Wazuh ist darauf ausgelegt, kontinuierliche Ereignisströme zu verarbeiten – nicht statische Datenbestände. In der Praxis entsteht jedoch häufig die Anforderung, bereits vorhandene Logdateien nachträglich in Wazuh zu integrieren, etwa bei Migrationen, forensischen Analysen oder beim initialen Onboarding neuer Datenquellen. Gerade bei JSON-Logs im NDJSON-Format scheint dies auf den ersten Blick trivial: Datei ablegen, Monitoring … Weiterlesen

Wazuh-IoCs automatisiert an Palo Alto übergeben: Zwei belastbare Integrationsmuster für Blocklisten und Dynamic Address Groups

von

Einleitung In vielen Wazuh-Umgebungen endet die Erkennung nicht beim Alerting. Sobald Wazuh belastbare Indicators of Compromise wie Quell-IP-Adressen, Ziel-IP-Adressen oder andere verifizierte Netzwerkindikatoren erkennt, entsteht schnell der Wunsch, diese Informationen unmittelbar für Containment-Maßnahmen auf der Firewall zu nutzen. Genau an dieser Stelle ist die Integration mit Palo Alto Networks besonders interessant: Die Firewall kann dynamische … Weiterlesen

.opendistro_security hängt in „Recovery“: Warum der Wazuh Indexer oft nicht kaputt ist, sondern nur ausgebremst wird

von

Einleitung Wenn der Wazuh Indexer einen gelben Cluster-Status zeigt und ein sensibler Systemindex wie .opendistro_security über Tage im Zustand Recovery bleibt, wirkt das schnell wie ein Sicherheits- oder Datenintegritätsproblem. In vielen Fällen ist die Ursache aber deutlich banaler: Nicht ein defekter Security-Index blockiert den Cluster, sondern die Shard-Zuweisung wird durch Recovery-Grenzwerte gedrosselt. OpenSearch unterscheidet klar … Weiterlesen

Wazuh Mapping-Chaos durch Custom Index Template: Warum sich Feldtypen unerwartet ändern und wie man es richtig löst

von

Einleitung Die Anpassung von Feldtypen im Wazuh Indexer ist ein häufiger Anwendungsfall, insbesondere wenn numerische Auswertungen oder Aggregationen benötigt werden. Ein klassisches Beispiel ist die Umwandlung eines Feldes wie data.count von string zu integer, um es in Dashboards oder für Metriken nutzbar zu machen. Was auf den ersten Blick wie eine einfache Mapping-Anpassung erscheint, kann … Weiterlesen

Wazuh Decoder XML Syntax Error (1113): PCRE2, Duplicate Names und Caching-Probleme bei Fail2ban-Decodern

von

Einleitung Die Erstellung eigener Decoder gehört zu den zentralen Erweiterungsmöglichkeiten von Wazuh. Gerade bei Tools wie Fail2ban ist eine saubere Log-Parsing-Logik essenziell, um sicherheitsrelevante Ereignisse wie gebannte IP-Adressen korrekt zu erkennen und weiterzuverarbeiten. In der Praxis treten dabei jedoch häufig XML-Syntaxfehler oder unerwartetes Decoder-Verhalten auf, obwohl die regulären Ausdrücke scheinbar korrekt sind. Dieser Beitrag zeigt … Weiterlesen

Snapshots statt „Backup“-Action: Wazuh Indexer mit Snapshot Management und ISM korrekt absichern

von

Einleitung Wer Wazuh-Daten langfristig sichern und gleichzeitig alte Indizes automatisiert aus dem Cluster entfernen will, landet schnell bei zwei eng verwandten, aber funktional getrennten Mechanismen: Snapshot Management für Backups und Index State Management (ISM) für Aufbewahrung und Löschung. Genau an dieser Stelle entsteht in der Praxis häufig Verwirrung, weil in der Wazuh-Oberfläche unter der State-Definition … Weiterlesen

Wazuh Indexer Backups richtig umsetzen: Snapshot Policies, ISM und Index-Typen korrekt verstehen

von

Einleitung Backups von Security-Daten sind kein Nice-to-have, sondern ein zwingender Bestandteil jeder SIEM-Architektur. Mit dem Wazuh Indexer (basierend auf OpenSearch) stehen dafür leistungsfähige Mechanismen zur Verfügung – allerdings nicht immer dort, wo man sie intuitiv erwartet. Besonders häufig entsteht Verwirrung rund um Index State Management (ISM), Snapshot Policies und die unterschiedlichen Wazuh-Index-Typen. Dieser Artikel erklärt, … Weiterlesen

Browser-Erweiterungen in Wazuh sichtbar machen und riskante Extensions per Active Response entfernen

von

Einleitung Browser-Erweiterungen sind ein oft unterschätzter Teil der Angriffsfläche. Gerade in Unternehmensumgebungen können unscheinbare Add-ons Daten abgreifen, den Browser manipulieren, unerwünschte Werbung einschleusen oder als Persistenzmechanismus dienen. Mit den erweiterten Inventory-Funktionen von Wazuh lassen sich Browser-Erweiterungen zentral erfassen, im Dashboard sichtbar machen und über benutzerdefinierte Regeln gegen eine Negativliste prüfen. Wazuh speichert Browser-Extension-Inventardaten in eigenen … Weiterlesen

Wazuh Single-Node mit gelbem Cluster-Status: Warum security-auditlog-* auf yellow bleibt und wie sich Replikate sauber bereinigen lassen

von

Einleitung In Single-Node-Installationen von Wazuh 4.11 taucht regelmäßig ein scheinbar alarmierender Zustand auf: Der Indexer zeigt yellow, obwohl Daten ingestiert werden, Primär-Shards aktiv sind und nur bestimmte Indizes betroffen sind. Besonders häufig betrifft das die security-auditlog-*-Indizes, die mit number_of_replicas = 1 angelegt wurden. Technisch ist das zunächst kein Ausfall, sondern ein Replikationsproblem: In einem Cluster … Weiterlesen

Wazuh USB-Geräteerkennung mit CDB-Listen: Warum match_key scheinbar nicht funktioniert und wie die Regel-Logik korrekt aufgebaut wird

von

Einleitung Die Überwachung von USB-Geräten ist in Wazuh ein typischer Anwendungsfall für Endpoint Visibility, Datenabflussprävention und die Erkennung unerlaubter Peripherie. Gerade in Windows-Umgebungen wird häufig versucht, autorisierte Datenträger über CDB-Listen zu erlauben und unbekannte Geräte als verdächtig zu markieren. In der Praxis scheitert diese Logik jedoch oft nicht an Wazuh selbst, sondern an einer falschen … Weiterlesen