Langsame Log-Ingestion beim täglichen Wazuh-Indexwechsel analysieren

von

Einleitung Wazuh erzeugt standardmäßig tägliche Indizes für Alerts und Archives. Dieser Mechanismus sorgt für übersichtliche Datenhaltung und ermöglicht effiziente Retention Policies über ILM. In größeren Umgebungen fällt jedoch häufig auf, dass rund um den täglichen Indexwechsel kurzzeitig eine erhöhte Latenz oder langsamere Ingestion auftritt. Besonders betroffen sind oft Archive-Indizes mit hohem Eventvolumen. Die Ursache liegt … Weiterlesen

Yellow Cluster State und anwachsende .sst-Dateien bei Wazuh Vulnerability Detection

von

Einleitung Seit Wazuh 4.8 basiert die Verarbeitung von Vulnerability Detection und IT-Hygiene-Daten zunehmend auf dem sogenannten Indexer Connector. Dabei werden Zustandsdaten in spezielle State-Indizes wie wazuh-states-vulnerabilities-* geschrieben. In produktiven Umgebungen fiel jedoch auf, dass ein gelber Indexer-Clusterzustand (yellow) teilweise zu anwachsenden .sst-Dateien und erheblichem Speicherverbrauch auf dem Wazuh Manager führen kann. Ausgangslage / Problemstellung Mehrere … Weiterlesen

YARA-Scans per Wazuh Active Response aus FIM-Events auslösen

von

Einleitung Die Kombination aus Wazuh File Integrity Monitoring und YARA ist ein wirksames Muster, um neu erstellte oder veränderte Dateien direkt auf Endpoints zu prüfen. Besonders Download-Verzeichnisse von Browsern sind sicherheitsrelevant, weil dort ausführbare Dateien, Archive, Office-Dokumente oder PDFs landen können, bevor sie durch weitere Prozesse geöffnet oder verteilt werden. Ausgangslage / Problemstellung In der … Weiterlesen

FortiGate-Logs in Wazuh in eigene Indizes routen

von

Einleitung FortiGate-Firewalls erzeugen in vielen Wazuh-Umgebungen ein hohes Logvolumen. Standardmäßig landen daraus erzeugte Alerts im Muster wazuh-alerts-*. Für saubere Datenhaltung, gezieltere Dashboards und separate Retention Policies ist es sinnvoll, diese Events in ein eigenes Indexmuster wie fortigate-alerts-* oder wazuh-alerts-fortigate-* zu schreiben. Ausgangslage / Problemstellung Die Umgebung sammelt FortiGate-Logs in Wazuh. Die Events werden vom FortiGate-Decoder … Weiterlesen

pfSense-Logs in Wazuh: Custom Decoder für fehlenden Hostnamen im BSD-Syslog-Format

von

Einleitung pfSense-Firewall-Logs sind eine wertvolle Datenquelle für Wazuh, insbesondere für die Erkennung blockierter Verbindungen, Portscans, lateral movement und unerwünschter Remote-Zugriffe. In der Praxis scheitert die Verarbeitung jedoch manchmal schon vor dem eigentlichen Decoder: Wenn pfSense-Logs im BSD-Syslog-Format ohne Hostnamen gesendet werden, verschiebt sich die Vorverarbeitung in Wazuh. Ausgangslage / Problemstellung Ein Wazuh Manager empfängt pfSense-Logs … Weiterlesen

Wazuh Dashboard Custom Branding: Logos funktionieren per IP, aber nicht per DNS

von

Einleitung Custom Branding im Wazuh Dashboard ist ein häufiger Wunsch in produktiven SIEM-Umgebungen. Eigene Logos, Titel und Ladebilder verbessern die Wiedererkennbarkeit der Plattform. Wenn Branding über die IP-Adresse korrekt angezeigt wird, über den DNS-Namen aber Standardlogos oder leere Platzhalter erscheinen, liegt die Ursache meist nicht im Branding selbst, sondern in URL-Auflösung, Routing oder statischer Dateiauslieferung. … Weiterlesen

Wazuh-Regeln für UniFi CEF-Logs: Warum Decoder funktionieren, aber Child Rules nicht auslösen

von

Einleitung UniFi kann System- und Sicherheitsereignisse im Common Event Format an ein SIEM senden. In Wazuh lassen sich diese CEF-Logs mit Custom Decodern und Regeln auswerten, um beispielsweise VPN-Verbindungen, Admin-Logins oder Konfigurationsänderungen sichtbar zu machen. Häufig funktioniert dabei zunächst das Decoding, während die darauf aufbauenden Regeln nicht auslösen. Die Ursache liegt meist in einer Abweichung … Weiterlesen

Wazuh AWS CloudTrail Dashboard bleibt leer: Analyse von „No logs to process in bucket“

von

Einleitung Die AWS-Integration von Wazuh liest CloudTrail-Logs aus einem S3-Bucket, verarbeitet sie über das AWS-Modul und erzeugt daraus Events für die Wazuh-Indizes. Wenn der Bucket erreichbar ist, im Dashboard aber keine CloudTrail-Daten erscheinen, liegt das Problem häufig nicht am Dashboard selbst, sondern an der vorgelagerten Erfassung: Wazuh findet keine neuen oder korrekt adressierbaren Logobjekte im … Weiterlesen

Wazuh Agent Log-Noise reduzieren: Grenzen von und skalierbare Alternativen für Kubernetes

von

Einleitung In Kubernetes-Umgebungen können Wazuh-Agenten sehr schnell große Mengen an Container- und Applikationslogs erfassen. Werden diese ungefiltert an den Wazuh Manager weitergeleitet, steigt die Last auf wazuh-analysisd, da Parsing, Decoding und Rule-Matching zentral auf Manager-Seite stattfinden. Besonders bei vielen Microservices führt Log-Noise daher nicht nur zu unnötigen Events, sondern auch zu messbaren Performance-Problemen. Ausgangslage / … Weiterlesen

Ruckus-Logs in Wazuh dekodieren: Custom Decoder für ZoneDirector- und SmartZone-Events

von

Einleitung Wireless-Infrastruktur erzeugt sicherheitsrelevante Logs zu Access Points, WLANs, Authentifizierungen, Client-Verbindungen und VLAN-Zuordnungen. Für Security Monitoring mit Wazuh sind diese Daten besonders wertvoll, weil sie Hinweise auf neue Clients, fehlgeschlagene Authentifizierungen, verdächtige SSIDs oder ungewöhnliche Client-IP-Zuweisungen liefern können. Bei Ruckus-Logs zeigt sich jedoch schnell: Nicht jedes Logformat lässt sich mit einem einzigen Decoder sauber abdecken. … Weiterlesen