Der große Vorteil von Wazuh ist der schlanke Manager der die Logs bearbeitet und auswertet und erst im Anschluss in den Index speichert. Will man allerdings einen Alert generieren, bzw eine Regel schreiben, für Werte die nach dem Enrichment gesetzt werden (u.a. GeoIP), müssen wir auf das native Alerting von Opensearch umschalten:
Alles rund ums Thema Wazuh