Michael Muenz – Seite 15

PostgreSQL-Auth-Fehler in Wazuh sauber dekodieren und als Rule alerten: Decoder-Design, Feldextraktion und Rule-Chaining

7. Januar 2026 von Michael Muenz

Einleitung Fehlgeschlagene Datenbank-Authentifizierungen gehören zu den wichtigsten Signalen in einem SIEM: Sie sind häufiges Symptom für Credential-Stuffing, Brute-Force-Versuche, Fehlkonfigurationen oder ausgerollte Systeme ohne korrekt gesetzte Secrets. Damit Wazuh solche Ereignisse zuverlässig erkennt, braucht es zwei Bausteine: einen Decoder, der die relevanten Felder aus dem Log extrahiert (z. B. den betroffenen PostgreSQL-User), und passende Rules, die … Weiterlesen

Wazuh Indexer „Circuit Breaking Exception“: Warum dein Cluster plötzlich stehenbleibt – und wie du es sauber behebst

5. Januar 2026 von Michael Muenz

Suresh und Bhanu meldeten ein Problem, das in vielen produktiven Wazuh-Installationen auftaucht:Plötzlich ist das Dashboard nicht erreichbar, Queries schlagen fehl – und der Wazuh-Indexer meldet: Ein klassischer Fall von: Zu wenig Heap – zu viel Arbeit für den Indexer OpenSearch (bzw. der Wazuh-Indexer) schützt sich selbst vor Out-of-Memory-Situationen. Wenn eine Operation (z. B. eine Suche, … Weiterlesen

Wazuh Migration & Wiederherstellung

4. Januar 2026 von Michael Muenz

RBAC, Rollen, User und Agent-Gruppen korrekt sichern und wiederherstellen Einleitung Nach einer Neuinstallation oder Migration eines Wazuh-Clusters stellt sich häufig heraus, dass zwar Agenten, Indizes und Logs wieder vorhanden sind – aber sicherheitsrelevante Metadaten fehlen. Dazu zählen insbesondere: Dieser Artikel erklärt wo diese Informationen gespeichert sind, wie sie korrekt gesichert werden und welche Restore-Strategien zukunftssicher … Weiterlesen

Azure-Logs in Wazuh: Warum das Wodle in Wellen arbeitet – und wie du Spikes, Flooding & Index-Hygiene in den Griff bekommst

2. Januar 2026 von Michael Muenz

Tim hat in der Wazuh-Community ein klassisches Szenario geschildert: Dazu kamen zwei zentrale Fragen: Schauen wir uns an, was im Thread herausgearbeitet wurde – und was du davon in deinem eigenen Setup nutzen kannst. 1. Setup: Azure Storage + azure-logs Wodle Tim nutzt das azure-logs Wodle in der Storage-Variante (nicht Log Analytics): Wichtige Punkte: Er … Weiterlesen

Wenn Auditd plötzlich dich selbst überwacht

2. Januar 2026 von Michael Muenz

Wie wir /var/log überwachen wollten – und Wazuh zum Noise-Generator wurde Wer Auditd produktiv einsetzen will, lernt relativ schnell eine harte Wahrheit: Auditd ist gnadenlos ehrlich.Es loggt nicht nur Angriffe – sondern auch dich selbst. In diesem Beitrag zeige ich, wie wir auf Debian ein sauberes Auditd-Setup für Wazuh aufgebaut haben, warum plötzlich der Wazuh-Logcollector … Weiterlesen

Custom Fortigate-Decoders und -Rules nach Linux-Migration in Wazuh: „Permission denied“ sauber beheben und Updatesicher deployen

31. Dezember 2025 von Michael Muenz

Einleitung Bei einer Migration des Wazuh-Servers (z. B. von CentOS 8 auf Rocky Linux) sind Custom Decoders und Rules oft der Teil, der am schnellsten „still“ kaputtgeht: Die Dateien sind zwar kopiert, aber Wazuh lädt sie nicht – und im Dashboard erscheinen kryptische Meldungen wie „No decoder was returned (1502)“ oder „No rule was returned … Weiterlesen

SFTP-Logs mit Wazuh decodieren: Vom Regex-Monster zur eleganten Ein-Zeilen-Lösung

30. Dezember 2025 von Michael Muenz

Costantino wollte SFTP-Transfers auf einem Linux-Server sauber in Wazuh auswerten.Die Logs sehen in etwa so aus: Mit anderen Worten: Costantino wollte daraus u. a. folgende Felder holen: Sein erster Ansatz: sehr komplexe Regexe mit Timestamp am Anfang und jede Menge Child-Decoder. Ergebnis: Logs wurden nicht oder nur teilweise korrekt decodiert. Schauen wir uns an, warum … Weiterlesen

Wazuh-Agenten plötzlich offline: Wie eine fehlerhafte Syslog-Konfiguration die gesamte Agent-Kommunikation lahmlegt

29. Dezember 2025 von Michael Muenz

Einleitung Stabile Agent-Konnektivität ist die Grundlage jeder Wazuh-Installation. Wenn plötzlich alle Agenten im Dashboard als „disconnected“ erscheinen, obwohl Systeme laufen und Benutzer aktiv sind, deutet dies meist auf ein zentrales Konfigurations- oder Kommunikationsproblem hin. Besonders kritisch wird es, wenn mehrere Funktionen – etwa Agent-Kommunikation und Syslog-Empfang – auf derselben Schnittstelle konfiguriert werden. Dieser Beitrag analysiert … Weiterlesen

Wazuh High Availability ohne Load-Balancing: Was wirklich möglich ist bei Indexer, Manager und Dashboard

28. Dezember 2025 von Michael Muenz

Einleitung High Availability (HA) in SIEM- und XDR-Umgebungen wird oft mit “mehr Knoten” gleichgesetzt. In der Praxis unterscheiden sich jedoch Datenebene, Kontroll-/Konfigurationsebene und UI-Schicht deutlich darin, wie (und ob) sie sich hochverfügbar betreiben lassen. In Wazuh ist das besonders relevant, weil der Wazuh Manager (Server) neben Event-Ingestion auch zentrale Steuerfunktionen übernimmt, während der Wazuh Indexer … Weiterlesen

CrowdStrike-Logs in Wazuh: Wenn Alerts im Archiv sichtbar sind, aber wegen full_log nie im Index landen

26. Dezember 2025 von Michael Muenz

Mah Wen Qiang wollte CrowdStrike-Logs sauber in Wazuh integrieren: „Crowdstrike alert – User authentication success – UserId: …“ Im archives.json ist das Event da – mit sauberem JSON-Decoder und data.metadata / data.event Feldern. Aber:Im Wazuh „Discover“/„Kibana“/„OpenSearch Dashboards“ taucht der Alert nicht auf.Gleichzeitig meldet Filebeat: mapper_parsing_exception … failed to parse field [full_log] of type [text] Später … Weiterlesen