Michael Muenz

Zeek + Wazuh: Wie man JSON-Felder ohne Konflikte ingestiert – inklusive sauberer Full-Parse-Lösung über den Indexer-Pipeline

von

Zeek erzeugt strukturiertes JSON – und das ist großartig.Aber wenn man diese Logs direkt über den Wazuh Agent ins System sendet, stößt man sehr schnell auf ein Problem: Die Felder unter id.* kollidieren mit OpenSearch-Mappings Beispiel-Zeek-Log: OpenSearch sagt dann: object mapping for [id] tried to parse field [orig_h] as type keyword, but found conflicting type … Weiterlesen

Aufräumen im Wazuh Vulnerability Dashboard: Schluss mit „Zombie-Agents“

von

Wer Wazuh länger im Einsatz hat, kennt das Problem:Im Vulnerability Dashboard tauchen Schwachstellen von Agents auf, die längst offline oder sogar vollständig gelöscht sind. Die Folge sind überfüllte Dashboards, verfälschte Risikobewertungen und unnötige Verunsicherung. In diesem Beitrag zeige ich, wie wir uns bewusst für eine aggressive Retention-Strategie entschieden haben – und warum das in der … Weiterlesen

Wazuh-Indexer im Status „yellow“: Wenn Replica-Shards deinen Single-Node-Cluster blockieren

von

Ein „yellow“ Cluster-Status im Wazuh-Indexer (OpenSearch) sorgt oft für Unruhe: Läuft noch alles? Gehen Daten verloren? Muss ich mir Sorgen machen? Im Fall von Johan Ekenlycka war die Situation typisch für viele All-in-one- oder Single-Node-Wazuh-Setups:Der Cluster lief, aber: Schauen wir uns an, was genau passiert ist – und wie das Problem sauber gelöst wurde. 1. … Weiterlesen

Wazuh 403-Fehler verstehen: Wenn wazuh-states-Indizes schreibgeschützt sind

von

In diesem Artikel zeige ich einen typischen, aber oft falsch interpretierten Fehler in Wazuh + Wazuh-Indexer:Vulnerabilities und Inventory-Daten funktionieren nicht mehr, Logs zeigen massenhaft 403 – obwohl Authentifizierung korrekt ist. Die eigentliche Ursache liegt nicht bei Usern oder Rollen, sondern bei gesperrten Wazuh-States-Indizes. Symptome Im laufenden Betrieb fallen mehrere Dinge auf: Typische Meldungen: Auf den … Weiterlesen

SentinelOne Activity Alerts in Wazuh: Warum Regeln nicht feuerten – und wie das Problem sauber gelöst wurde

von

Use Case:Ein Community-Mitglied wollte neben den SentinelOne Threat Alerts auch Activity Alerts per API in Wazuh integrieren – basierend auf dem offiziellen Wazuh-Blog zur SentinelOne-Integration. Die Logs wurden korrekt abgeholt und in separate JSON-Dateien geschrieben, dennoch wurden Activity Alerts weder im Dashboard angezeigt noch durch Custom Rules erkannt. Ausgangslage Setup Symptome Root Cause 1: Indexing- … Weiterlesen

Wazuh HAProxy Helper: Master-Node gezielt vom Agent-Load (Port 1514) ausschließen

von

Ausgangssituation In großen Wazuh-Umgebungen (hier: >6.000 Agents) ist es Best Practice, den Master-Node möglichst schlank zu halten und primär für Agent-Registrierungen (Port 1515) sowie Cluster-Koordination zu nutzen. Der Nutzer hatte bereits erfolgreich: 👉 Die einzige offene Frage:Wie kann verhindert werden, dass der Master-Node vom HAProxy Helper automatisch als Backend für Agent-Traffic (Port 1514) verwendet wird? … Weiterlesen

Wazuh & Windows EventChannel: Warum du den Decoder „windows_eventchannel“ nicht findest – und wie EventChannel-Events wirklich funktionieren

von

Windows PowerShell- oder Security-Events aus dem Microsoft-Windows-PowerShell/Operational Channel verhalten sich in Wazuh auf den ersten Blick merkwürdig: Warum ist das so? Die Antwort steckt tief in der Architektur von Wazuh. Dieser Artikel erklärt: 1. Warum du den Decoder „windows_eventchannel“ nicht findest Wazuh unterscheidet zwischen: Der Windows EventChannel-Decoder gehört zur zweiten Kategorie. Jakub Pacowski erklärt es … Weiterlesen

Wazuh + GCP: „Received 0 messages“ beim GCS-Bucket – warum Audit-Logs (JSON) nicht ankommen und was stattdessen funktioniert

von

Ausgangslage Ein Wazuh-Cluster auf v4.14.1 verarbeitet GCP-Logs aus einem Google Cloud Storage Bucket. Die Dateien liegen im Bucket vor (sichtbar, korrekter Inhalt), der Wazuh-Log zeigt auch „Processing …“, aber am Ende steht: INFO: Received 0 messages Beispiel aus dem Log: Im Bucket liegen Cloud Audit Logs als JSON (z. B. cloudaudit.googleapis.com/activity). Warum das passiert (Root … Weiterlesen

Azure-Felder wie data.activityDateTime in echte Datumsfelder für Wazuh-Visualisierungen umwandeln

von

Wer Azure-Logs über das Wazuh Azure-Modul einbindet, kennt das Problem:Viele Zeitstempel kommen zwar wie ein Datum aus, werden vom Wazuh Indexer aber nur als String gespeichert. Ein typisches Beispiel: In der Oberfläche sehen diese Werte korrekt aus – aber in Visualisierungen, Timelines, Aggregationen oder Range-Filtern sind sie nicht als Datum nutzbar, weil der Feldtyp nicht … Weiterlesen

Wazuh Manager Cluster über WAN? – Ja, das geht! (Aber nur für Manager, nicht für Indexer)

von

Viele Unternehmen betreiben Wazuh in der Cloud – etwa in AWS – möchten aber gleichzeitig auch on-prem Komponenten integrieren.Genau das plante Obeyd:Ein großer Wazuh-Cluster in AWS (5 Manager, 9 Indexer, 1 Dashboard) – und zusätzlich ein weiterer Manager-Worker in einem entfernten On-Prem-Standort. Die Frage:Kann ein Wazuh Manager Cluster stabil funktionieren, wenn ein Worker über WAN … Weiterlesen