Slack

Ausgangslage Ein Wazuh-Cluster auf v4.14.1 verarbeitet GCP-Logs aus einem Google Cloud Storage Bucket. Die Dateien liegen im Bucket vor (sichtbar, korrekter Inhalt), der Wazuh-Log zeigt auch „Processing …“, aber am Ende steht: INFO: Received 0 messages Beispiel aus dem Log: Im Bucket liegen Cloud Audit Logs als JSON (z. B. cloudaudit.googleapis.com/activity). Warum das passiert (Root hier weiterlesen

Wer Azure-Logs über das Wazuh Azure-Modul einbindet, kennt das Problem:Viele Zeitstempel kommen zwar wie ein Datum aus, werden vom Wazuh Indexer aber nur als String gespeichert. Ein typisches Beispiel: In der Oberfläche sehen diese Werte korrekt aus – aber in Visualisierungen, Timelines, Aggregationen oder Range-Filtern sind sie nicht als Datum nutzbar, weil der Feldtyp nicht hier weiterlesen

Viele Unternehmen betreiben Wazuh in der Cloud – etwa in AWS – möchten aber gleichzeitig auch on-prem Komponenten integrieren.Genau das plante Obeyd:Ein großer Wazuh-Cluster in AWS (5 Manager, 9 Indexer, 1 Dashboard) – und zusätzlich ein weiterer Manager-Worker in einem entfernten On-Prem-Standort. Die Frage:Kann ein Wazuh Manager Cluster stabil funktionieren, wenn ein Worker über WAN hier weiterlesen

Im Thread von Ewin Loppe ging es um ein typisches Thema in Wazuh-/OpenSearch-Umgebungen:Der Cluster-Status ist gelb, einige Shards sind unassigned, und Dev Tools werfen plötzlich 403 / security_exception. Schauen wir uns an, warum das passiert – und wie man es sauber behebt. 1. Ausgangslage: Cluster „yellow“ und unassigned Shards Ewin hat den Clusterzustand geprüft: Ausgabe hier weiterlesen

Wer WatchGuard-Firewall-Logs über einen Syslog-Collector in Wazuh einspeist, trifft schnell auf diese frustrierende Meldung: No decoder matched Genau das ist Nikola passiert:Die Logs der WatchGuard-Firewall landen per rsyslog → lokale Datei → Wazuh-Agent → Manager im System, tauchen in archives.log auf – aber keiner der gefundenen WatchGuard-Decoder von GitHub greift. In diesem Artikel schauen wir hier weiterlesen

File Integrity Monitoring (FIM) ist eine zentrale Sicherheitskomponente moderner Endpoint-Überwachung. Es ermöglicht Administratoren, Dateiänderungen in Echtzeit zu erkennen, Integritätsverstöße aufzudecken und sicherheitsrelevante Manipulationen zu protokollieren.Ein Slack-Thread aus der Wazuh-Community bot einen detaillierten Einblick in die Funktionsweise und Praxis, den wir in diesem Blogpost strukturiert zusammenführen und erweitern. 1. Wie arbeiten Kernel und Wazuh-Agent zusammen? Wazuh hier weiterlesen

Die rollenbasierte Zugriffskontrolle (RBAC) in Wazuh ist ein wichtiges Werkzeug, wenn Organisationen sensible Sicherheitsdaten nur bestimmten Benutzergruppen zugänglich machen möchten. Doch während Wazuh selbst sehr feingranulare Agent-Berechtigungen bietet, zeigt die Kombination mit OpenSearch aktuell deutliche Schwachstellen. Im Slack-Thread beschreibt Lennart Hagemann ein Problem, das viele Wazuh-Administratoren betreffen dürfte:Wie verhindert man, dass Benutzer*innen Daten über Agents hier weiterlesen

Slack ist ein großartiger Ort für schnellen Austausch – aber genau das ist manchmal auch ein Problem. Nachrichten verschwinden nach 90 Tagen aus dem Verlauf, werden nicht indexiert und wertvolle Diskussionen sind später kaum mehr auffindbar. Gerade im Wazuh-Slack, in dem viele spannende technische Gespräche stattfinden, fand ich das zunehmend schade. Deshalb habe ich mich hier weiterlesen

In komplexen Cloud-Umgebungen ist es essenziell, ungewöhnliche Aktivitäten frühzeitig zu erkennen. Eine häufige Herausforderung: Ein überwachter Benutzerin führt eine Operation plötzlich von einer neuen, bisher unbekannten IP-Adresse aus.Im Slack-Thread aus dem Wazuh-Community-Channel schilderte Marcin Strzyzewski genau dieses Problem – und erhielt hilfreiche Antworten, die wir hier zusammenfassen. Ausgangssituation Marcin wollte eine korrelierende Wazuh-Regel schreiben, die hier weiterlesen

In einem aktuellen Slack-Thread schilderte ein Anwender ein Problem, das viele Administratoren kennen: Wazuh für Umgebungen ohne Internetzugang (Air-Gapped / Restricted Networks) korrekt zu konfigurieren, insbesondere die Offline-Vulnerability-Detection.Der Dialog entwickelte sich schnell zu einem hilfreichen Troubleshooting-Leitfaden – mit einigen wichtigen Learnings, die wir hier als Blogpost zusammenfassen. 1. Ausgangslage: Wazuh im Offline-Betrieb Der Nutzer wollte hier weiterlesen

In der heutigen Welt der Cybersecurity ist Transparenz ein zentraler Baustein jeder Sicherheitsarchitektur. Wer hat sich wann eingeloggt? Welche Aktionen wurden ausgeführt? Und wo werden diese Informationen gespeichert?Genau diese Fragen stellte Moiz Munawar heute Morgen im Wazuh-Community-Channel – und löste damit eine kleine, aber äußerst hilfreiche Diskussion aus. Im Folgenden fassen wir den Austausch zusammen hier weiterlesen