Windows Logoff-Events fluten Wazuh: So filterst du nur „echte“ User-Logins (AD/Windows Server)

Problem:Auf einem Windows Server (z. B. Domain Controller/Active Directory) laufen die Windows User Logoff-Events heiß und erzeugen in Wazuh eine Log-Flut – ohne echten Mehrwert. Ziel ist: Nur relevante Login-Events behalten (z. B. interaktive Logins), den Rest möglichst früh abstellen. Warum das passiert Auf Windows-Systemen entstehen Login/Logout-Events sehr häufig – nicht nur durch „echte“ Benutzer, … Weiterlesen

DISK CRITICAL trotz 95 GB frei: Wenn /var wegen Inodes und Wazuh-Indexer-Queue (wazuh-states-vulnerabilities) explodiert

Einleitung In Wazuh-Umgebungen mit vielen Agents kann „Disk Critical“ auf Worker-/Manager-Nodes plötzlich auftreten, obwohl df -h noch zweistellige Gigabytes an freiem Speicher zeigt. Der Grund ist häufig nicht der freie Platz, sondern ein Inode-Exhaustion (z. B. inode=99%) – ausgelöst durch sehr viele Dateien in Wazuh-Queues oder RocksDB/Indexer-Connector-Verzeichnissen. In diesem Beitrag geht es um ein konkretes … Weiterlesen

Wazuh + MISP für Firewall-Logs über Rsyslog: IP-IOC-Lookups statt nur Hash-Abgleich

Einleitung Viele Wazuh–MISP-Anleitungen demonstrieren die Integration anhand von Datei-Hashes (z. B. FIM-basierte Use-Cases). In realen SIEM-Setups – besonders mit Firewalls – ist jedoch häufig der IP-basierte IOC-Abgleich entscheidend: „Ist die zugelassene oder geblockte Gegenstelle malicious?“ Die gute Nachricht: Aus Sicht des Wazuh Managers macht es keinen Unterschied, ob Logs direkt vom Agent kommen oder über … Weiterlesen

Wazuh E-Mail-Alerts nach Agent-Gruppen filtern: Warum event_location nicht passt und welche Ansätze wirklich funktionieren

Einleitung E-Mail-Alerts sind in Wazuh ein bewährter „Last Mile“-Kanal für kritische Events – besonders, wenn ein SOC nicht permanent im Dashboard arbeitet oder bestimmte Betriebsgruppen (z. B. Business Units) eigene Benachrichtigungswege brauchen. Häufig lautet die Anforderung: „Sende Alerts nur für Agent-Gruppe X an Empfänger A und nur für Gruppe Y an Empfänger B.“Genau hier stößt … Weiterlesen

Warum mein Azure-Logs-Wodle in GCC High plötzlich keine Events mehr holt (und warum Debug-Level „2“ nicht die eigentliche Lösung ist)

Ausgangslage: Azure Logs laufen… und dann plötzlich nicht mehr User m letormd hatte eine Test-Wazuh-Umgebung (4.14.1), in der Azure-Logs zunächst sauber importiert wurden.Später – auch auf einer frischen Neuinstallation – passierte Folgendes: Spannend wurde es, als er Debugging aktivierte: Subjektiver Eindruck: „Mit Debug an scheint es plötzlich zu funktionieren, ohne nicht.“Das sieht so aus, als … Weiterlesen

Wazuh Decoder für UniFi CEF-Logs: Feld-Splitting, Formatabweichungen und Decoder-Konflikte sauber lösen

Einleitung CEF (Common Event Format) ist ein etabliertes Log-Format mit einem festen Header (Version|Vendor|Product|…) und einer variablen Extension als Key-Value-Liste. Genau diese Mischung sorgt in Wazuh häufig für zwei typische Probleme: Decoder „catcht“ nicht zuverlässig (wegen leicht abweichender CEF-Header-Darstellung) oder Decoder kollidiert mit anderen CEF-Decodern (weil die Prematches zu generisch sind). CEF selbst ist als … Weiterlesen

Wazuh Index-Patterns in Discover verbergen oder umbenennen: Was geht nicht – und welche Multi-Tenancy-Workarounds funktionieren

Einleitung Sobald Wazuh produktiv genutzt wird, taucht ein wiederkehrendes Bedürfnis auf: Nicht jeder Nutzer soll in OpenSearch Dashboards (Wazuh Dashboard) im Discover-Dropdown alle Index-Patterns sehen – vor allem nicht technische Wazuh-States- oder Vulnerability-Indizes wie wazuh-states-vulnerabilities-*. Gleichzeitig sollen die Nutzer aber weiterhin die Wazuh-Apps (z. B. Vulnerability/IT Hygiene/Endpoints) bedienen können. Genau an dieser Stelle kollidieren Erwartungen … Weiterlesen

Wazuh File Integrity Monitoring unter Windows: File-Limit, Datenbanküberlauf und MAX_PATH korrekt einordnen

Einleitung File Integrity Monitoring (FIM) gehört zu den zentralen Sicherheitsfunktionen von Wazuh und ist insbesondere auf Windows-Systemen ein häufig genutztes Werkzeug zur Überwachung kritischer Dateien und Verzeichnisse. In der Praxis stoßen Administratoren jedoch regelmäßig auf Warnungen über ein erreichtes Datei-Limit oder überlange Dateipfade. Dieser Artikel basiert auf einer realen Wazuh-Community-Diskussion und ordnet diese Meldungen technisch … Weiterlesen

Wazuh + AWS Security Hub (SQS Subscriber) und CloudTrail im selben aws-s3-Wodle: Wenn nur der erste Collector läuft

Einleitung Viele Wazuh-Deployments in AWS starten mit CloudTrail – zurecht, denn damit landen IAM-, API- und Control-Plane-Aktivitäten zuverlässig im SIEM. Der nächste logische Schritt ist die Anbindung von AWS Security Hub, um normalisierte Findings (ASFF) zentral zu korrelieren. In der Praxis scheitert das aber oft nicht an AWS selbst, sondern an der Art, wie das … Weiterlesen

Wazuh & MISP: Warum deine FIM-Alerts nicht „nachträglich“ angereichert werden können (und wie du es trotzdem löst)

Im Thread wollte Logitech Flames folgendes erreichen: Ergebnis: Die Frage war: „Wie bekomme ich die MISP-Metadaten in denselben Alert wie Rule 100100?“ 1. Wichtiger Grundsatz: Wazuh-Alerts sind „fertig“, sobald sie geschrieben sind [Wazuh] Hossam bringt den Knackpunkt ziemlich klar auf den Punkt: Wazuh-Alerts sind praktisch unveränderlich.Wenn ein Alert einmal ausgelöst und indiziert ist, wird er … Weiterlesen