Einleitung
Die IT Hygiene-Sektion im Wazuh Dashboard bietet eine zentrale Übersicht über Inventarisierungs- und Konfigurationsdaten (z. B. OS-Details, installierte Software, Prozesse, Netzwerk) aus allen überwachten Endpunkten. Diese Daten werden von den Syscollector-Modulen der Agenten gesammelt, in der Wazuh Indexer-Datenbank aggregiert und im Dashboard visualisiert. Wazuh Dokumentation
Wenn in dieser Sektion jedoch nur „No results match your search criteria“ erscheint, obwohl Agenten angebunden sind, Daten lokal vorhanden sind und scheinbar alle Systeme laufen, kann das mehrere Ursachen haben – von Agent-Konfigurationen über Index-Probleme bis hin zu Synchronisations- oder Connector-Fehlern.
Ausgangslage / Problemstellung
Ein Nutzer berichtet, dass im IT Hygiene-Bereich keine Daten angezeigt werden und stattdessen die Meldung „No results match your search criteria“ erscheint, obwohl:
- Eine distributed deployment vorhanden ist.
- Der Cluster-Health-Status im Indexer „yellow“ ist.
- Fehlermeldungen über Agent Authentifizierungsfehler im Manager-Log auftauchen.
Dies deutet darauf hin, dass die Daten zwar zum Teil vorhanden sind, aber nicht korrekt oder vollständig im Dashboard angezeigt werden. Google Gruppen
Technische Analyse
1) IT Hygiene-Datenfluss und Voraussetzungen
IT Hygiene-Visualisierungen basieren auf Daten, die vom Syscollector-Modul der Agenten gesammelt und über den Wazuh Manager an den Indexer weitergeleitet werden. Anschließend erstellt der Indexer spezielle „wazuh-states-inventory-*“ Indizes, auf deren Grundlage das Dashboard aggregierte Visualisierungen bereitstellt. Wazuh Dokumentation
Wenn dieser Datenpfad unterbrochen ist, kann zwar der Manager laufen und der Indexer im „yellow“ Status sein, aber Daten nicht sichtbar werden.
2) Agent-Sammelprobleme
Ein häufiger Grund für fehlende IT Hygiene-Daten ist, dass der Syscollector-Modul auf Agenten nicht läuft oder nicht korrekt konfiguriert ist. In der Wazuh-Community wird darauf hingewiesen, dass IT Hygiene-Daten direkt von diesen Modulen abhängen – wenn sie deaktiviert oder nicht korrekt eingebunden sind, erscheinen keine Daten. Google Gruppen
Beispielkonfiguration auf Agentseite:
<syscollector>
<enabled>yes</enabled>
</syscollector>
Wenn dieser Eintrag fehlt oder falsch ist, sendet der Agent keine Inventardaten, was sich direkt in einem leeren IT Hygiene-Dashboard äußert.
3) Indexer-Connector- oder Synchronisationsfehler
Im Thread wurde eine Fehlermeldung genannt,
indexer-connector: ERROR: Could not connect to server, status code: -1
indexer-connector: WARNING: Failed to sync agent
Solche Meldungen deuten darauf hin, dass der Indexer-Connector keine Verbindung zum Indexer herstellen kann oder nicht regelmäßig synchronisiert. Das kann dazu führen, dass zwar lokale Inventardaten vorhanden sind, sie aber nicht in den entsprechenden Indizes im Indexer landen und somit nicht im Dashboard gefunden werden. Wazuh Dokumentation
Ein „yellow“ Cluster-Status kann Hinweis auf unassigned shards oder gemeinsame Ressourcenengpässe sein, die ebenfalls die Datenverfügbarkeit beeinträchtigen, auch wenn keine kritischen Fehler sichtbar sind.
4) Dashboard-Zugriffsrechte bzw. Index-Pattern-Probleme
Ein weiterer, wenn auch seltenerer Grund ist, dass der Dashboard-Index-Pattern nicht korrekt existiert oder die Benutzerrechte auf Index-Ebenen fehlen. In einem Wazuh-Issue wurde erläutert, dass Index-Daten (z. B. IT Hygiene) spezielle Berechtigungen benötigen und diese nicht przez API RBAC, sondern direkt über Indexer-Berechtigungen konfiguriert werden müssen. GitHub
Lösung / Best Practices
1) Syscollector-Modul prüfen
Auf den betroffenen Agenten sicherstellen, dass Syscollector aktiviert ist:
# Auf jedem Agent prüfen:
grep -R "<syscollector>" /var/ossec/etc/ossec.conf
Einträge wie <enabled>yes</enabled> müssen vorhanden sein.
Anschließend Agenten neustarten:
systemctl restart wazuh-agent
2) Indexer-Daten prüfen
Im Indexer Management → Dev Tools des Dashboards lassen sich die Systeminventarindizes überprüfen:
GET _cat/indices/wazuh-states-inventory-*?v
Wenn diese Indizes leer sind oder nicht existieren, dann kommen keine Daten an. In diesem Fall auch die Anzahl der Dokumente prüfen:
GET wazuh-states-inventory-system-*/_search?size=10
Damit ist sichtbar, ob Indizes vorhanden sind und Daten enthalten. Wazuh Dokumentation
3) Indexer-Connector-Logs & Connectivity prüfen
- Stellen Sie sicher, dass Wazuh Manager ↔ Indexer Netzwerkverbindung stabil ist.
- Prüfen Sie in
/var/ossec/logs/ossec.logoder dem Indexer-Connector-Log auf Fehlermeldungen. - Testen Sie, ob der Indexer erreichbar ist (z. B. über
curlgegen Port 9200 mit gültigen Credentials). Wazuh Dokumentation
4) Cluster Health verbessern
Ein „yellow“ Status alleine ist nicht immer kritisch, kann aber auf ungepaarte Replikate oder restrukturierungsbedürftige Indizes hindeuten. Mit folgenden Schritten lässt sich die Health verbessern:
- Replikas reduzieren, wenn Single-Node Setup.
- Alte Indizes löschen, um nicht-zugewiesene Shards zu reduzieren.
- Sicherstellen, dass Shards zugeordnet und keine „unassigned shards“ vorhanden sind. Wazuh Dokumentation
5) Dashboard-Index-Patterns regenerieren
Wenn das Index-Pattern beschädigt oder gelöscht wurde, kann ein Neustart des Dashboard-Service helfen, die gespeicherten Objekte (Index Patterns) neu anzulegen. Wazuh Dokumentation
systemctl restart wazuh-dashboard
Lessons Learned / Best Practices
- Syscollector und Vulnerability-Module müssen korrekt aktiviert sein, sonst fehlen Daten im IT Hygiene-Dashboard. Google Gruppen
- Indexer-Connector-Verbindungen stabil halten: Netzwerk- oder Zertifikatsprobleme zwischen Manager und Indexer können Daten-Sync verhindern. Wazuh Dokumentation
- Cluster Health im Indexer beobachten: „Yellow“ ist tolerierbar, aber kann auf ungelöste Probleme mit Shards hinweisen. Wazuh Dokumentation
- Index Patterns und Dashboard-Objekte korrekt vorhanden halten, damit UI-Abfragen erfolgreich ausgeführt werden. Wazuh Dokumentation
Fazit
Wenn das Wazuh IT Hygiene-Dashboard „No results match your search criteria“ anzeigt, liegt das meist nicht an einem simplen UI-Bug, sondern an fehlenden oder nicht vollständig indexierten Daten. Häufige Ursachen sind deaktivierte Syscollector-Module auf Agenten, Indexer-Connector-Synchronisationsprobleme oder Probleme mit der Indexstruktur des Indexers. Durch das Überprüfen der Moduleinstellungen, Prüfen der Inventarindizes im Indexer und Überwachung der Manager-zu-Indexer-Kommunikation lässt sich das Problem schnell eingrenzen und beheben.
Mehr zu Wazuh …
https://wazuh.com/?utm_source=ambassadors&utm_medium=referral&utm_campaign=ambassadors+program
Mehr zum Wazuh Ambassador Program …
https://wazuh.com/ambassadors-program/?utm_source=ambassadors&utm_medium=referral&utm_campaign=ambassadors+program
https://wazuh.slack.com/archives/C07CCCCGHHP/p1767591957042859