Indexer

Und wie arbeitet die eingebaute Anomaly Detection überhaupt? Ausgangsfrage aus dem Thread User Yugandhar M. wollte wissen: „Kann ich Wazuh-Regeln auf OpenSearch Anomaly Detection erstellen?“(gemeint: Kann man Alerts generieren oder Wazuh-Regeln schreiben, die auf Anomalien basieren, die OpenSearch erkennt?) Die Antwort von Wazuh Engineer Bony John lautet:Ja – in Wazuh 4.14.x ist Anomaly Detection voll … Weiterlesen

Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) All-in-One-Installationen (Manager, Indexer, Dashboard auf einer VM) sind für den Einstieg bequem – im Betrieb aber empfindlich gegenüber Ressourcenkonkurrenz. Typische Symptome nach einem Reboot: Der Wazuh Indexer startet nicht mehr („service failed“, „request timeout“), Bootstrap-Checks brechen ab („memory locking requested … but memory is not locked“) und die Wazuh API … Weiterlesen

Einleitung In Wazuh-Umgebungen mit vielen Agents kann „Disk Critical“ auf Worker-/Manager-Nodes plötzlich auftreten, obwohl df -h noch zweistellige Gigabytes an freiem Speicher zeigt. Der Grund ist häufig nicht der freie Platz, sondern ein Inode-Exhaustion (z. B. inode=99%) – ausgelöst durch sehr viele Dateien in Wazuh-Queues oder RocksDB/Indexer-Connector-Verzeichnissen. In diesem Beitrag geht es um ein konkretes … Weiterlesen

Einleitung Sobald Wazuh produktiv genutzt wird, taucht ein wiederkehrendes Bedürfnis auf: Nicht jeder Nutzer soll in OpenSearch Dashboards (Wazuh Dashboard) im Discover-Dropdown alle Index-Patterns sehen – vor allem nicht technische Wazuh-States- oder Vulnerability-Indizes wie wazuh-states-vulnerabilities-*. Gleichzeitig sollen die Nutzer aber weiterhin die Wazuh-Apps (z. B. Vulnerability/IT Hygiene/Endpoints) bedienen können. Genau an dieser Stelle kollidieren Erwartungen … Weiterlesen

Einleitung Wenn im Wazuh Dashboard „von jetzt auf gleich“ keine neuen Events mehr erscheinen, wirkt das zunächst wie ein klassisches Pipeline-Problem: Filebeat, Indexer, Manager oder Dashboard „hängen“. In vielen Fällen laufen aber alle Services fehlerfrei, die Alerts liegen sogar weiterhin auf dem Manager vor – und trotzdem bleibt das Dashboard leer. Ein typischer Grund dafür … Weiterlesen

Einleitung Wer Netzflussdaten (z. B. Netflow via Filebeat) in Wazuh nutzt, möchte früher oder später Bandbreite historisch auswerten: Bytes über Zeit, getrennt nach „intern → extern“ und „extern → intern“. In der Praxis scheitert das oft nicht an der Visualisierung selbst, sondern an Index-Mappings, Konflikten über Tagesindizes hinweg und „kaputten“ Saved Objects im Dashboard. Dieser … Weiterlesen

Ausgangslage: 3 Indexer-Nodes à ~1,7 TB (= ~5,1 TB). Ingestion ~100 GB/Tag ⇒ ~3 TB Rohdaten für 30 Tage. Trotzdem sind ~5,1 TB belegt. Das ist in OpenSearch/Wazuh nicht ungewöhnlich – weil (a) Replikation und Shards Daten vervielfachen und (b) der “Index auf Platte” deutlich mehr ist als der reine JSON-Logstrom. 1) Der häufigste Grund: … Weiterlesen

Einleitung Wazuh-Umgebungen stehen und fallen mit einem konsistenten Wazuh Indexer (OpenSearch). Sobald Indexdaten “auf Dateisystemebene” manuell entfernt werden, kann das zwar kurzfristig Speicherplatz schaffen, aber auch Cluster-Metadaten, Shard-Zuordnungen und sicherheitsrelevante Systemindizes beschädigen. Die Folge reicht von roten Clusterzuständen bis hin zu nicht initialisierter OpenSearch-Security – und damit zu einem nicht mehr erreichbaren Wazuh Dashboard. Ausgangslage … Weiterlesen

Suresh und Bhanu meldeten ein Problem, das in vielen produktiven Wazuh-Installationen auftaucht:Plötzlich ist das Dashboard nicht erreichbar, Queries schlagen fehl – und der Wazuh-Indexer meldet: Ein klassischer Fall von: Zu wenig Heap – zu viel Arbeit für den Indexer OpenSearch (bzw. der Wazuh-Indexer) schützt sich selbst vor Out-of-Memory-Situationen. Wenn eine Operation (z. B. eine Suche, … Weiterlesen