Michael Muenz

Einleitung Wazuh skaliert gut – aber bei mehreren tausend Agents, zusätzlicher Syslog- und Datenbank-Ingestion sowie 90 Tagen Aufbewahrung entscheidet die Architektur über Stabilität, Kosten und Betriebskomplexität. Besonders kritisch sind dabei die Trennung von Analyse (Manager-Cluster) und Storage/Search (Indexer-Cluster), eine saubere Hot/Warm-Strategie im Indexer sowie ein realistisches Kapazitätsmodell (EPS, Eventgröße, Index-Overhead, Replikate, Shards). Dieser Beitrag konsolidiert … Weiterlesen

Einleitung Archive-Logging (logall / logall_json) gehört zu den mächtigsten, aber zugleich riskantesten Funktionen im Wazuh-Manager. Es ermöglicht vollständige Transparenz über alle verarbeiteten Events – inklusive jener, die keine Alerts erzeugen. Genau diese Eigenschaft macht Archive-Logs für Debugging, Troubleshooting und Regelentwicklung unverzichtbar. In produktiven Umgebungen mit hohem Eventdurchsatz kann das globale Aktivieren von Archives jedoch schnell … Weiterlesen

Einleitung Wer Wazuh in Kubernetes (z. B. EKS) betreibt, will früher oder später mehr als nur alerts.json in den Indexer schreiben: Für forensische Analysen, Incident Response und Compliance ist das Archiv-Logging (archives.json) extrem wertvoll. In klassischen Deployments genügt oft ein simples Aktivieren des Filebeat-Archives-Filesets. In Kubernetes kann genau dieser Schritt jedoch dazu führen, dass der … Weiterlesen

Einleitung Die Vulnerability Detection ist eines der leistungsstärksten, aber auch am häufigsten missverstandenen Module in Wazuh. Gerade bei Testszenarien – etwa dem absichtlichen Installieren veralteter Pakete – entsteht schnell der Eindruck, dass Wazuh Schwachstellen „nicht erkennt“ oder „nicht anzeigt“. In der Praxis liegt die Ursache jedoch fast immer im Zusammenspiel aus Paket-Inventarisierung, Feed-Updates und der … Weiterlesen

Einleitung Ein neu installiertes Wazuh-System ist funktional sofort einsatzbereit – sicherheitstechnisch jedoch nur dann, wenn Standardpasswörter konsequent ersetzt werden. Gerade in produktiven oder internetnahen Umgebungen ist das Ändern der Default-Zugänge für Dashboard, Indexer und Manager ein absolutes Muss. Dieser Beitrag erklärt sauber getrennt, welche Passwörter es in Wazuh überhaupt gibt, wie sie technisch zusammenhängen und … Weiterlesen

Einleitung Beim Bau eigener Wazuh-Rulesets entsteht schnell der Wunsch nach einer „Auffangregel“: Alles, was nicht spezifisch gematcht wird, soll trotzdem klassifiziert, geloggt und später analysierbar sein. Genau hier stolpern viele – weil Wazuh Regeln nicht nach Rule-ID priorisiert, sondern nach Evaluierungslogik (insbesondere Severity/Level, Rule-Chain und Matching). Das Ergebnis: Eine Catch-all-Regel feuert immer, während die eigentlich … Weiterlesen

Einleitung pfSense ist in vielen Umgebungen nicht nur ein Firewall-Gateway, sondern auch ein zentraler Audit-Punkt: WebGUI-Logins, Konfigurationsänderungen und das Anwenden von Filter-Regeln sind sicherheitsrelevant und gehören in ein SIEM. Wazuh eignet sich dafür hervorragend – allerdings stehen viele Integrationen und “funktioniert nur teilweise”-Symptome nicht im Zeichen falscher Regex, sondern in der falschen Kopplung zwischen Decoder-Ausgabe … Weiterlesen

Einleitung Upgrades der zentralen Wazuh-Komponenten (Manager, Indexer, Dashboard) gehören zum regulären Betrieb einer SIEM-Plattform. In der Praxis führt ein Versionssprung jedoch häufig zu Verunsicherung, wenn Agents nach dem Upgrade plötzlich als Pending erscheinen, nicht mehr Active sind oder ganz aus dem Dashboard verschwinden. Dieser Artikel fasst eine umfangreiche Community-Diskussion zusammen und zeigt, wie Agent-Status nach … Weiterlesen