Wazuh File Integrity Monitoring unter Windows: File-Limit, Datenbanküberlauf und MAX_PATH korrekt einordnen

von

Einleitung

File Integrity Monitoring (FIM) gehört zu den zentralen Sicherheitsfunktionen von Wazuh und ist insbesondere auf Windows-Systemen ein häufig genutztes Werkzeug zur Überwachung kritischer Dateien und Verzeichnisse. In der Praxis stoßen Administratoren jedoch regelmäßig auf Warnungen über ein erreichtes Datei-Limit oder überlange Dateipfade. Dieser Artikel basiert auf einer realen Wazuh-Community-Diskussion und ordnet diese Meldungen technisch korrekt ein – inklusive konkreter Konfigurations- und Architektur-Empfehlungen.

Ausgangslage / Problemstellung

Ein Wazuh-Agent auf einem Windows-Server meldet wiederholt folgende Warnung:

The maximum limit of files monitored has been reached. At this moment there are 100000 files and the limit is 100000. From this moment some events can be lost.

Parallel dazu erscheinen Meldungen wie:

X:\...\File_name.ext is too long. The maximum length is 260 characters.

Auffällig ist, dass diese Warnungen auftreten, obwohl das Dateisystem deutlich mehr Dateien und Verzeichnisse enthält (z. B. >260.000 Dateien und >40.000 Ordner). Dies wirft mehrere Fragen auf:

  • Warum greift das File-Limit scheinbar „zu früh“?
  • Wie lässt sich ein Überlaufen der FIM-Datenbank vermeiden?
  • Welche Auswirkungen haben Windows-Pfadlängenbeschränkungen auf die Überwachung?

Technische Analyse

Bedeutung des File-Limits

Die Warnung bezieht sich nicht auf die Gesamtzahl der Dateien im Dateisystem, sondern ausschließlich auf die Anzahl der Einträge in der FIM-Datenbank des Agents. Standardmäßig stoppt Wazuh nach 100.000 erfassten Dateiobjekten das Hinzufügen weiterer Dateien zur Überwachung.

Sobald dieses Limit erreicht ist:

  • Neue Dateien werden nicht mehr in die FIM-Datenbank aufgenommen
  • Änderungen an diesen Dateien bleiben unerkannt
  • Die Integritätsüberwachung ist damit unvollständig

Die offizielle Funktionsweise des FIM-Moduls ist in der Wazuh-Dokumentation beschrieben:
https://documentation.wazuh.com/current/user-manual/capabilities/file-integrity/index.html

Ursachen für das Erreichen des Limits

Typische Gründe sind:

  • Überwachung kompletter Laufwerke statt gezielter Verzeichnisse
  • Aktiviertes Realtime-Monitoring auf großen Verzeichnisbäumen
  • Hohe Anzahl temporärer oder dynamischer Dateien
  • Kombination aus initialem Full Scan und kurzer Scan-Frequenz

Windows MAX_PATH (260 Zeichen)

Zusätzlich stößt das FIM-Modul unter Windows an eine systembedingte Grenze: Dateipfade mit mehr als 260 Zeichen können nicht verarbeitet werden. Diese Dateien:

  • werden übersprungen
  • landen nicht in der FIM-Datenbank
  • erzeugen wiederholte Warnmeldungen
  • können zu unnötiger Scan-Last führen

Dieses Verhalten ist bekannt und dokumentiert, unter anderem in folgenden Issues:

Eine vollständige oder teilweise Überwachung dieser Dateien findet nicht statt, was funktional einem Monitoring-Blindspot entspricht.

Lösung / Best Practices

Anpassung des File-Limits

Das File-Limit kann gezielt erhöht werden, entweder lokal auf dem Agent oder zentral über die Agent-Konfiguration. Beispiel für Windows (ossec.conf):

<syscheck>
  <file_limit>
    <enabled>yes</enabled>
    <entries>300000</entries>
  </file_limit>
</syscheck>

Referenz:
https://documentation.wazuh.com/current/user-manual/reference/ossec-conf/syscheck.html#file-limit

Wichtig: Ein höheres Limit erhöht:

  • Größe der FIM-Baseline
  • Dauer von Full Scans
  • Speicher- und CPU-Bedarf des Agents

Anpassung der Scan-Frequenz

Nach einer Erhöhung des File-Limits sollte die Scan-Frequenz überprüft und ggf. angepasst werden, um Dauer-Scans zu vermeiden:

https://documentation.wazuh.com/current/user-manual/reference/ossec-conf/syscheck.html#frequency

Architektonische Empfehlungen

  • Keine vollständigen Laufwerke überwachen
  • Fokus auf:
    • Konfigurationsverzeichnisse
    • Skripte
    • Applikations-Binaries
    • sicherheitsrelevante Pfade
  • Realtime-Monitoring nur dort aktivieren, wo es fachlich notwendig ist
  • Lange, tief verschachtelte Pfade nach Möglichkeit aus der Überwachung ausschließen

Lessons Learned / Best Practices

  • Das FIM-File-Limit bezieht sich auf Datenbankeinträge, nicht auf das Dateisystem
  • Ein zu breiter Monitoring-Scope führt schnell zu Limit- und Performance-Problemen
  • MAX_PATH-Überschreitungen unter Windows sind technisch bedingt und aktuell nicht vollständig lösbar
  • Übersprungene Dateien sind nicht überwacht und stellen potenzielle Sicherheitslücken dar
  • Regelmäßige Review der FIM-Konfiguration ist Pflicht, insbesondere nach Applikations- oder Datenwachstum

Fazit

FIM-Warnungen unter Windows sind kein Bug, sondern meist ein Indikator für eine zu breit angelegte oder nicht skalierte Überwachung. Mit einer bewussten Begrenzung des Monitoring-Scopes, einer angepassten File-Limit-Konfiguration und realistischen Scan-Intervallen lässt sich Wazuh FIM stabil und performant betreiben. Gleichzeitig müssen bekannte Windows-Einschränkungen wie MAX_PATH in die Sicherheitsarchitektur einkalkuliert werden.

Mehr zu Wazuh …
https://wazuh.com/?utm_source=ambassadors&utm_medium=referral&utm_campaign=ambassadors+program

Mehr zum Wazuh Ambassador Program …
https://wazuh.com/ambassadors-program/?utm_source=ambassadors&utm_medium=referral&utm_campaign=ambassadors+program

https://wazuh.slack.com/archives/C07BK5RJM3R/p1768822884387279