O365-Integration läuft, aber im Wazuh Dashboard „keine Logs“: Wenn Filebeat am Indexer scheitert (SAN/Host-Mismatch)

TL;DR Wenn das Office365-Modul sauber startet und du O365-Events in alerts.json findest, aber im Dashboard nichts siehst, ist die Integration meist nicht das Problem – sondern der Transport in den Indexer (typisch: Filebeat → Indexer). In diesem Fall war die Ursache ein TLS-Zertifikat ohne passenden SAN für die private IP (10.0.1.4): Das Zertifikat war nur … Weiterlesen

Vergangene Logs mit Wazuh erfassen: Was der Agent standardmäßig sammelt, was wirklich tut und wie man historische Logs sicher nachlädt

Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Wazuh ist primär als Realtime-SIEM/XDR-Plattform konzipiert. Entsprechend sammelt der Agent standardmäßig nur neue Logeinträge, die ab dem Start des Logcollectors entstehen. In der Praxis entsteht jedoch häufig der Bedarf, bereits vorhandene Logs (z. B. vor der Agent-Installation oder während einer Downtime) nachträglich zu analysieren – etwa im Rahmen einer forensischen … Weiterlesen

Wazuh „Not enough buffer space“ in wazuh-remoted: Warum einzelne Agents Konfigs nicht mehr bekommen und wie man bqueue-/Send-Buffer-Backpressure sauber debuggt

Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Wenn Wazuh-Agenten keine Shared Configs oder Active-Response-Kommandos mehr erhalten, ist das kein „Komfortproblem“, sondern ein Sicherheitsrisiko: Policies, Detektionslogik und Reaktionen kommen nicht mehr zuverlässig am Endpoint an. In der Praxis äußert sich das häufig über wazuh-remoted-Meldungen wie „Not enough buffer space“ und „Package dropped“. Der reflexartige Ansatz, remoted.send_buffer_size hochzusetzen, hilft … Weiterlesen

ILM/ISM Hot–Warm–Cold in einer Wazuh-Umgebung

Ausgangsfrage (Jonas) Jonas betreibt 1× Manager, 1× Dashboard, 1× Indexer und möchte Index Lifecycle Management (Wazuh Indexer / OpenSearch ISM) so konfigurieren, dass Indizes durch hot → warm → cold laufen – inkl. Shrink in warm und “cold phase”-Aktionen. Kernaussagen aus den Antworten 1) Hot–Warm–Cold braucht mindestens einen “Warm”-Node Mah Wen Qiang verweist auf die … Weiterlesen

SentinelOne-Events als JSON

SentinelOne in Wazuh: Warum JSON-Events im Dashboard fehlen, Logtest „nicht erkannt“ meldet und wie du Parsing, Filebeat-Pipeline und Korrelation stabil bekommst Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Die SentinelOne-Integration ist in Wazuh ein klassischer „Datenpipeline“-Use-Case: Events kommen per API oder Syslog an, werden lokal als JSON oder CEF geschrieben, anschließend von Wazuh ingestiert, decodiert, in den … Weiterlesen

Wazuh Dashboard zeigt nur noch Daten eines Workers: Systematische Fehleranalyse für „Filebeat sendet, Indexer ingestiert nicht“

Einleitung Wenn in einer Wazuh-Cluster-Architektur plötzlich nur noch Events von einem Worker im Dashboard auftauchen, wirkt es auf den ersten Blick wie ein Indexer-Problem. In der Praxis liegt die Ursache häufig an einer Kette aus Nebenwirkungen: ein kurzfristig voller Datenträger auf dem betroffenen Worker, ein danach „gesund“ wirkender Filebeat – und trotzdem keine ingestierten Dokumente. … Weiterlesen

Thread-Zusammenfassung: “Sysmon Event kommt an – aber kein MISP-Alert im Dashboard”

In diesem Thread war der Kernfehler ein Missverständnis über den Datenfluss: Was Jitendra erwartet hat Warum 100622 nie feuern kann (so wie es gebaut ist) Die Regel 100622 matcht nicht Sysmon-Events – sie matcht Events, die bereits MISP-Felder enthalten, z. B.: Deine Sysmon-Roh-Events (EventChannel, EventID 22 / 1) enthalten aber kein integration:misp und kein misp.*.Also … Weiterlesen

Wazuh Alerts während Wartungsfenstern gezielt unterdrücken

Einleitung Regelmäßige Betriebssystem- und Applikationsupdates gehören zum Alltag jeder IT-Umgebung. Für Security- und SIEM-Teams stellen diese Wartungsfenster jedoch eine besondere Herausforderung dar: Während Updates laufen, erzeugen Agenten oft eine Vielzahl erwartbarer, aber sicherheitlich irrelevanter Events. Ohne geeignete Maßnahmen kann dies zu Alert-Fluten, unnötiger Belastung des Wazuh-Managers und Alarmmüdigkeit bei Analysten führen. Dieser Artikel zeigt, wie … Weiterlesen

Warum ein Sophos-Firewall-Decoder in Wazuh „nicht funktioniert“: Wenn mehrere Events in einer Logzeile stecken

EinleitungCustom Decoder sind in Wazuh ein Standardwerkzeug, um herstellerspezifische Logs (z. B. Sophos Firewall „SFW“) in strukturierte Felder zu überführen. Wenn ein Decoder trotz korrekter Regex scheinbar nicht greift, liegt die Ursache häufig nicht im Regex selbst, sondern im Ingestionsformat: Wazuh decodiert grundsätzlich pro eingehendem Event eine Logmessage – wenn ein Forwarder oder ein Logfile … Weiterlesen

Wazuh + MISP + Sysmon: Warum Logtest klappt, aber live keine MISP-Alerts kommen (und warum full_log alles kaputtmachen kann)

In diesem Thread ging es um ein Problem, das in der Praxis extrem häufig ist: Hier ist die Essenz + die eigentliche Root Cause-Kette. 1) Warum Logtest funktioniert, aber live nicht wazuh-logtest prüft nur: Live passiert zusätzlich: Heißt: Logtest kann “grün” sein, obwohl die Integration live an einer anderen Stelle bricht. 2) Der echte Showstopper: … Weiterlesen