ILM/ISM Hot–Warm–Cold in einer Wazuh-Umgebung

von

Ausgangsfrage (Jonas)

Jonas betreibt 1× Manager, 1× Dashboard, 1× Indexer und möchte Index Lifecycle Management (Wazuh Indexer / OpenSearch ISM) so konfigurieren, dass Indizes durch hot → warm → cold laufen – inkl. Shrink in warm und “cold phase”-Aktionen.

Kernaussagen aus den Antworten

1) Hot–Warm–Cold braucht mindestens einen “Warm”-Node

Mah Wen Qiang verweist auf die Wazuh-Doku und sagt sinngemäß:

  • Für Hot/Warm-Architektur brauchst du mehr als einen Indexer-Node, weil du Rollen/Node-Attribute brauchst (z. B. ein Node “hot”, ein Node “warm”).
  • Mit nur einem Indexer ist “hot/warm” als Architektur nicht sinnvoll trennbar (alles läuft auf derselben Kiste).

Jonas fragt nach: „Also muss ich mehrere Nodes hinzufügen, um Shrink/Phasen zu erreichen? Pro Phase ein Node?“

Mah Wen Qiang:

  • Ja: mindestens 1 hot + 1 warm.
  • Beim cold node ist er unsicher.

2) Praktischer Weg im Dashboard: ISM Policy erstellen (Visual Editor)

Parash Kafle gibt eine Schritt-für-Schritt-Anleitung über die Wazuh Dashboard UI:

Pfad:

  • Wazuh Dashboard → Index ManagementState Management PoliciesCreate policyVisual editor

Wichtige Bausteine:

  • Policy ID vergeben (z. B. “Retention Policy”)
  • ISM Template hinzufügen, z. B. Index Pattern: wazuh-alerts-*

States / Phasen:

  • Hot State
    • Action: Read/Write (Index ist aktiv beschreibbar + lesbar)
  • Warm State
    • Action: Shrink
    • Einstellung: “Number of new shards” (Ziel-Shard-Anzahl)
    • Hinweis: Warm setzt voraus, dass mindestens ein Indexer Node als warm fungiert.
  • Cold State
    • Action: Close
    • Effekt: Index bleibt vorhanden, ist aber geschlossen und nicht lesbar, bis er wieder geöffnet wird.

Wichtiger Hinweis:

  • Die Policy wirkt automatisch nur auf neu erstellte Indizes.
  • Für bestehende Indizes muss man die Policy manuell zuweisen.

Was man aus dem Thread mitnehmen sollte

  • Ja, für echtes Hot/Warm brauchst du mehrere Indexer-Nodes (mindestens warm zusätzlich).
  • “Cold” wird hier nicht als eigener Storage-Tier umgesetzt, sondern über Index Close (Index bleibt liegen, aber ist “zu”).
  • Die “Shrink”-Funktion ist an Warm gekoppelt und erfordert entsprechend eine Cluster-Struktur, die das unterstützt.
  • Policies greifen “out of the box” nicht rückwirkend, sondern primär ab Erstellung neuer Indizes.

https://wazuh.slack.com/archives/C0A933R8E/p1764835610507979