Indexer

Wazuh High Availability ohne Load-Balancing: Was wirklich möglich ist bei Indexer, Manager und Dashboard

von

Einleitung High Availability (HA) in SIEM- und XDR-Umgebungen wird oft mit “mehr Knoten” gleichgesetzt. In der Praxis unterscheiden sich jedoch Datenebene, Kontroll-/Konfigurationsebene und UI-Schicht deutlich darin, wie (und ob) sie sich hochverfügbar betreiben lassen. In Wazuh ist das besonders relevant, weil der Wazuh Manager (Server) neben Event-Ingestion auch zentrale Steuerfunktionen übernimmt, während der Wazuh Indexer … Weiterlesen

Aufräumen im Wazuh Vulnerability Dashboard: Schluss mit „Zombie-Agents“

von

Wer Wazuh länger im Einsatz hat, kennt das Problem:Im Vulnerability Dashboard tauchen Schwachstellen von Agents auf, die längst offline oder sogar vollständig gelöscht sind. Die Folge sind überfüllte Dashboards, verfälschte Risikobewertungen und unnötige Verunsicherung. In diesem Beitrag zeige ich, wie wir uns bewusst für eine aggressive Retention-Strategie entschieden haben – und warum das in der … Weiterlesen

Wazuh-Indexer im Status „yellow“: Wenn Replica-Shards deinen Single-Node-Cluster blockieren

von

Ein „yellow“ Cluster-Status im Wazuh-Indexer (OpenSearch) sorgt oft für Unruhe: Läuft noch alles? Gehen Daten verloren? Muss ich mir Sorgen machen? Im Fall von Johan Ekenlycka war die Situation typisch für viele All-in-one- oder Single-Node-Wazuh-Setups:Der Cluster lief, aber: Schauen wir uns an, was genau passiert ist – und wie das Problem sauber gelöst wurde. 1. … Weiterlesen