Alles rund ums Thema Wazuh
Vor ein paar Tagen habe ich bei einigen Agents im Wazuh Cluster die Agenten zwar verbunden gesehen, aber keine einkommenden Events. Also los zum Loadbalancer und schauen ob die Pakete auf 1514 ankommen und an die Worker geleitet werden. Das war dann auch so, allerdings wurden die Logs nur nie angezeigt, wenn der Loadbalancer die … Weiterlesen
Um in Wazuh bestimmte Felder zu anonymisieren bzw. pseudonymisieren hat ein Wazuh-Mitarbeiter 2 Videos online gestellt (englisch). Da freut sich der Betriebsrat!
Auf unserem internen Wazuh Cluster (3 Nodes) habe ich zum Test auf allen Node einen Snapshot gemacht und dann mit der Holzhammer-Methode von 4.5.2 auf 4.6 hochgezogen Erst auf dem Master, reboot, dann Node1, reboot, dann Node2, reboot. Hat problemlos funktioniert (Debian 12.2). Für Produktivumgebungen und vor allem ohne Snapshots auf keinen Fall nachahmen 🙂
Um einen 3-Node OpenSearch Cluster aufzusetzen und zu betreiben ist nicht viel Knowhow notwendig, hin und wieder lohnt es sich aber mal die KI nach den best practice Umsetzungen zu befragen. Prinzipiell decken sich diese mit meinen Erfahrungen im Betrieb mit Wazuh, aber es schadet sich nicht eine zweite Meinung von höherer Intelligenz einzuholen. Frage: … Weiterlesen
Ein guter Artikel rund um Snapshots in Opensearch, auch für Wazuh recht interessant wenn es um Restore geht. https://sematext.com/blog/elasticsearch-delete-index/
Aktuelle Settings laden Entfernten Cluster hinzufügen Cluster wieder löschen Nicht-erreichbaren Remote Cluster ignorieren Bitte nicht vergessen im Stack Management einen Index Pattern für den Remote Cluster einzutragen:
Beide Cluster sollten am besten mit der gleichen CA installiert worden sein. Dazu am besten in Cluster 1 die unattended installation, dann die Zertifikate auf den zweiten Cluster kopieren und für diesen die step-by-step Methode wählen. Dort wird mit dem cert-tool gearbeitet und somit kann auch die bereits verwendete CA genommen werden. Als Nodes in … Weiterlesen
Um z.B. die Lifetime von Wazuh JWT Token anzupassen, muss im Cluster der Wert über die API Console angepasst werden. Dazu einfach in das Dashboard einloggen und zu „Wazuh -> Tools -> API Console“. Dort kann das aktuelle Setting über GET /seurity/config abgefragt werden. Um die Lifetime von 900 Sekunden auf 1800 Sekunden zu erhöhen, … Weiterlesen
Sehr detaillierte Beschreibung wie die Queue von einem Wazuh Agent funktioniert: https://documentation.wazuh.com/current/user-manual/agents/antiflooding.html
Eine Migration eines OpenSearch-Clusters auf einen anderen Cluster kann auf verschiedene Arten durchgeführt werden. Hier sind einige Methoden und wie sie funktionieren: In der Praxis sind die ersten beiden Methoden (Snapshot und Restore sowie Reindex von Remote) die gebräuchlichsten und sichersten Ansätze zur Migration von OpenSearch-Clustern. Es ist wichtig, vor jeder Migration eine gründliche Planung … Weiterlesen