Wazuh Cross-Cluster Search (CCS): Warum ein klassischer Read-Only-User nicht ausreicht und welche RBAC-Rollen wirklich benötigt werden

Einleitung Cross-Cluster Search (CCS) ermöglicht es, mehrere Wazuh-Cluster zentral über einen Wazuh-Indexer abzufragen und die aggregierten Daten im Dashboard darzustellen. Gerade in Multi-Site- oder Mandanten-Umgebungen ist CCS ein essenzieller Baustein für zentrale Security-Analysen, SOC-Betrieb und konsolidierte Incident-Response-Prozesse. In der Praxis zeigt sich jedoch häufig ein Problem: Ein nach Dokumentation erstellter Read-Only-User kann sich zwar am … Weiterlesen

OpenSearch Cross-Cluster Tips

Aktuelle Settings laden Entfernten Cluster hinzufügen Cluster wieder löschen Nicht-erreichbaren Remote Cluster ignorieren Bitte nicht vergessen im Stack Management einen Index Pattern für den Remote Cluster einzutragen:

Cross-Cluster-Search in Wazuh

Beide Cluster sollten am besten mit der gleichen CA installiert worden sein. Dazu am besten in Cluster 1 die unattended installation, dann die Zertifikate auf den zweiten Cluster kopieren und für diesen die step-by-step Methode wählen. Dort wird mit dem cert-tool gearbeitet und somit kann auch die bereits verwendete CA genommen werden. Als Nodes in … Weiterlesen