Michael Muenz – Seite 20

CrowdStrike-Logs in Wazuh: Wenn Alerts im Archiv sichtbar sind, aber wegen full_log nie im Index landen

26. Dezember 2025 von Michael Muenz

Mah Wen Qiang wollte CrowdStrike-Logs sauber in Wazuh integrieren: „Crowdstrike alert – User authentication success – UserId: …“ Im archives.json ist das Event da – mit sauberem JSON-Decoder und data.metadata / data.event Feldern. Aber:Im Wazuh „Discover“/„Kibana“/„OpenSearch Dashboards“ taucht der Alert nicht auf.Gleichzeitig meldet Filebeat: mapper_parsing_exception … failed to parse field [full_log] of type [text] Später … Weiterlesen

Zentrales Verteilen von Sysmon-Konfigurationen

24. Dezember 2025 von Michael Muenz

Eine interessante Idee via centralized group configuration die config von Sysmon aktuell zu halten: https://medium.com/@kurniawanhanif63/centralized-sysmon-configuration-management-with-wazuh-0375b121ede8

Wazuh Dashboard Fehler „Socket ‚auth‘ cannot receive connections“ in 4.11.2 beheben: API erreichbar, aber Manager-Authd/Socket blockiert

24. Dezember 2025 von Michael Muenz

Einleitung Wenn das Wazuh Dashboard zwar lädt, aber bei API-Aufrufen mit [WazuhError]: API error: ERR_BAD_RESPONSE – Error connecting with socket: Socket ‚auth‘ cannot receive connections abbricht, ist die Lage oft trügerisch: Der Wazuh API-Port (55000) kann erreichbar sein, während intern eine Manager-Komponente nicht verfügbar ist. Gerade bei Single-Node-Installationen führt das schnell zu einer Situation, in … Weiterlesen

Zeek + Wazuh: Wie man JSON-Felder ohne Konflikte ingestiert – inklusive sauberer Full-Parse-Lösung über den Indexer-Pipeline

23. Dezember 2025 von Michael Muenz

Zeek erzeugt strukturiertes JSON – und das ist großartig.Aber wenn man diese Logs direkt über den Wazuh Agent ins System sendet, stößt man sehr schnell auf ein Problem: Die Felder unter id.* kollidieren mit OpenSearch-Mappings Beispiel-Zeek-Log: OpenSearch sagt dann: object mapping for [id] tried to parse field [orig_h] as type keyword, but found conflicting type … Weiterlesen

Aufräumen im Wazuh Vulnerability Dashboard: Schluss mit „Zombie-Agents“

21. Dezember 2025 von Michael Muenz

Wer Wazuh länger im Einsatz hat, kennt das Problem:Im Vulnerability Dashboard tauchen Schwachstellen von Agents auf, die längst offline oder sogar vollständig gelöscht sind. Die Folge sind überfüllte Dashboards, verfälschte Risikobewertungen und unnötige Verunsicherung. In diesem Beitrag zeige ich, wie wir uns bewusst für eine aggressive Retention-Strategie entschieden haben – und warum das in der … Weiterlesen

Wazuh-Indexer im Status „yellow“: Wenn Replica-Shards deinen Single-Node-Cluster blockieren

21. Dezember 202520. Dezember 2025 von Michael Muenz

Ein „yellow“ Cluster-Status im Wazuh-Indexer (OpenSearch) sorgt oft für Unruhe: Läuft noch alles? Gehen Daten verloren? Muss ich mir Sorgen machen? Im Fall von Johan Ekenlycka war die Situation typisch für viele All-in-one- oder Single-Node-Wazuh-Setups:Der Cluster lief, aber: Schauen wir uns an, was genau passiert ist – und wie das Problem sauber gelöst wurde. 1. … Weiterlesen

Wazuh 403-Fehler verstehen: Wenn wazuh-states-Indizes schreibgeschützt sind

7. Januar 202620. Dezember 2025 von Michael Muenz

In diesem Artikel zeige ich einen typischen, aber oft falsch interpretierten Fehler in Wazuh + Wazuh-Indexer:Vulnerabilities und Inventory-Daten funktionieren nicht mehr, Logs zeigen massenhaft 403 – obwohl Authentifizierung korrekt ist. Die eigentliche Ursache liegt nicht bei Usern oder Rollen, sondern bei gesperrten Wazuh-States-Indizes. Symptome Im laufenden Betrieb fallen mehrere Dinge auf: Typische Meldungen: Auf den … Weiterlesen

SentinelOne Activity Alerts in Wazuh: Warum Regeln nicht feuerten – und wie das Problem sauber gelöst wurde

19. Dezember 2025 von Michael Muenz

Use Case:Ein Community-Mitglied wollte neben den SentinelOne Threat Alerts auch Activity Alerts per API in Wazuh integrieren – basierend auf dem offiziellen Wazuh-Blog zur SentinelOne-Integration. Die Logs wurden korrekt abgeholt und in separate JSON-Dateien geschrieben, dennoch wurden Activity Alerts weder im Dashboard angezeigt noch durch Custom Rules erkannt. Ausgangslage Setup Symptome Root Cause 1: Indexing- … Weiterlesen

Wazuh HAProxy Helper: Master-Node gezielt vom Agent-Load (Port 1514) ausschließen

18. Dezember 2025 von Michael Muenz

Ausgangssituation In großen Wazuh-Umgebungen (hier: >6.000 Agents) ist es Best Practice, den Master-Node möglichst schlank zu halten und primär für Agent-Registrierungen (Port 1515) sowie Cluster-Koordination zu nutzen. Der Nutzer hatte bereits erfolgreich: 👉 Die einzige offene Frage:Wie kann verhindert werden, dass der Master-Node vom HAProxy Helper automatisch als Backend für Agent-Traffic (Port 1514) verwendet wird? … Weiterlesen

Wazuh & Windows EventChannel: Warum du den Decoder „windows_eventchannel“ nicht findest – und wie EventChannel-Events wirklich funktionieren

18. Dezember 202517. Dezember 2025 von Michael Muenz

Windows PowerShell- oder Security-Events aus dem Microsoft-Windows-PowerShell/Operational Channel verhalten sich in Wazuh auf den ersten Blick merkwürdig: Warum ist das so? Die Antwort steckt tief in der Architektur von Wazuh. Dieser Artikel erklärt: 1. Warum du den Decoder „windows_eventchannel“ nicht findest Wazuh unterscheidet zwischen: Der Windows EventChannel-Decoder gehört zur zweiten Kategorie. Jakub Pacowski erklärt es … Weiterlesen