Was ist in Wazuh der Unterschied von timestamp und @timestamp

von

Hier ein Betrag aus dem Slack (von Hasitha Upekshitha) fürs Archiv: Das Timestamp-Feld bezieht sich in der Regel auf den Zeitpunkt, an dem ein Ereignis vom Quellsystem erzeugt oder aufgezeichnet wurde (z. B. vom überwachten Endpunkt, einer Anwendung oder einem Gerät), bevor es von Wazuh verarbeitet wird. Dieses Feld wird oft direkt aus dem Log … Weiterlesen

Keine neuen Alerts nach Upgrade von Ubuntu 20.04 auf 24.04

von

Bei einem geplanten Upgrade von Ubuntu 20.04 auf 24.04 haben wir erst die VM mit Snapshot bestückt und dann den ganz normalen Weg wie er überall beschrieben ist gewählt: Geänderte Defaults nicht überschreiben lassen und Dienste neu starten lassen, kein großes Ding. Bei 22.04 kurz geprüft ob alle Dienste laufen und neue Logs in der … Weiterlesen

Wazuh Update auf 4.12 kann in Amazon Linux zu Problemen führen

von

Bei einem unserer Kunden die rein in AWS arbeiten, haben wir das neueste Update von Wazuh 4.12 eingespielt, nachdem alle unsere internen Tests (basierend auf Ubuntu) erfolgreich verlaufen sind. Da die AMI auf Amazon Linux2 (CentOS) basiert, lief hier das Update via … nicht ganz so rund. Erst eine Warnung dass Wazuh-Indexer nicht läuft und … Weiterlesen

Wazuh Export-Limit im Discover-Tab erweitern

von

Im Slack gibt es gerade eine interessante Diskussion, wie man das Limit von Reports erweitern kann. Dazu muss die constants.js manuell angepasst werden. Sie liegt hier: Suchen nach Und entsprechend auf eigenes Risiko erweitern: Im Anschluss das Dashboard neu starten

Bestimmte Logs aus dem Wazuh-Index löschen

von

Gehen wir davon aus, dass nur eine begrenzte Menge an Festplattenspeicher für Wazuh zur Verfügung steht. Um nicht blind alle Index älter als X Tage löschen zu müssen, können wir auf die Index einzeln nach unwichtigeren Meldungen durchgehen und nur diese entfernen (auf eigenes Risiko!). Wollt ihr zum Beispiel die simplen Windows Logoff Meldungen raus … Weiterlesen