Langsame Log-Ingestion beim täglichen Wazuh-Indexwechsel analysieren

Einleitung Wazuh erzeugt standardmäßig tägliche Indizes für Alerts und Archives. Dieser Mechanismus sorgt für übersichtliche Datenhaltung und ermöglicht effiziente Retention Policies über ILM. In größeren Umgebungen fällt jedoch häufig auf, dass rund um den täglichen Indexwechsel kurzzeitig eine erhöhte Latenz oder langsamere Ingestion auftritt. Besonders betroffen sind oft Archive-Indizes mit hohem Eventvolumen. Die Ursache liegt … Weiterlesen

Yellow Cluster State und anwachsende .sst-Dateien bei Wazuh Vulnerability Detection

Einleitung Seit Wazuh 4.8 basiert die Verarbeitung von Vulnerability Detection und IT-Hygiene-Daten zunehmend auf dem sogenannten Indexer Connector. Dabei werden Zustandsdaten in spezielle State-Indizes wie wazuh-states-vulnerabilities-* geschrieben. In produktiven Umgebungen fiel jedoch auf, dass ein gelber Indexer-Clusterzustand (yellow) teilweise zu anwachsenden .sst-Dateien und erheblichem Speicherverbrauch auf dem Wazuh Manager führen kann. Ausgangslage / Problemstellung Mehrere … Weiterlesen

FortiGate-Logs in Wazuh in eigene Indizes routen

Einleitung FortiGate-Firewalls erzeugen in vielen Wazuh-Umgebungen ein hohes Logvolumen. Standardmäßig landen daraus erzeugte Alerts im Muster wazuh-alerts-*. Für saubere Datenhaltung, gezieltere Dashboards und separate Retention Policies ist es sinnvoll, diese Events in ein eigenes Indexmuster wie fortigate-alerts-* oder wazuh-alerts-fortigate-* zu schreiben. Ausgangslage / Problemstellung Die Umgebung sammelt FortiGate-Logs in Wazuh. Die Events werden vom FortiGate-Decoder … Weiterlesen

Wazuh Single-Node mit gelbem Cluster-Status: Warum security-auditlog-* auf yellow bleibt und wie sich Replikate sauber bereinigen lassen

Einleitung In Single-Node-Installationen von Wazuh 4.11 taucht regelmäßig ein scheinbar alarmierender Zustand auf: Der Indexer zeigt yellow, obwohl Daten ingestiert werden, Primär-Shards aktiv sind und nur bestimmte Indizes betroffen sind. Besonders häufig betrifft das die security-auditlog-*-Indizes, die mit number_of_replicas = 1 angelegt wurden. Technisch ist das zunächst kein Ausfall, sondern ein Replikationsproblem: In einem Cluster … Weiterlesen

Wazuh Indexer Cluster und Grafana: Architektur, Datenverfügbarkeit und Hochverfügbarkeit richtig verstehen

Einleitung Die Integration von Grafana in eine Wazuh-Umgebung ist ein häufiger Wunsch, insbesondere wenn es um individuelle Dashboards, Langzeitvisualisierung oder die Korrelation von Security-Daten geht. In produktiven Setups wird der Wazuh Indexer jedoch meist als Cluster betrieben. Genau hier entstehen typische Fragen: Welcher Indexer ist der richtige Anlaufpunkt für Grafana? Was passiert bei einem Node-Ausfall? … Weiterlesen

Wazuh Alert-Split-Routing: Index-Templates korrekt erweitern und Mapping-Konflikte vermeiden

Einleitung In komplexeren Wazuh-Deployments ist es üblich, Alerts logisch zu trennen – etwa nach Kunden, Organisationseinheiten oder Sicherheitszonen. Technisch wird dies häufig über Ingest-Pipelines im Wazuh Indexer umgesetzt, die Alerts anhand von Metadaten in unterschiedliche Indizes routen.Ein zentrales, aber oft übersehenes Detail dabei sind die zugrunde liegenden Index-Templates. Werden diese nicht korrekt berücksichtigt, drohen Mapping-Konflikte, … Weiterlesen

Wazuh RBAC: Fehler bei benutzerdefinierten Dashboards und fehlenden Index-Rechten sauber beheben

Einleitung Role-Based Access Control (RBAC) ist in Wazuh essenziell, um Mandantentrennung, Least-Privilege-Prinzip und organisatorische Zuständigkeiten sauber abzubilden. Besonders in Umgebungen mit mehreren Teams oder Kunden wird häufig ein separates Dashboard mit eingeschränkten Rechten benötigt – etwa für das Lesen und Verwalten bestimmter Agent-Gruppen. In der Praxis treten dabei jedoch regelmäßig Fehler auf, die auf unvollständige … Weiterlesen

Wazuh Threat Hunting zeigt keine neuen Events trotz funktionierender Webhooks: Shard-Exhaustion im Indexer als „Silent Stop“ bei Single-Node-Setups

Einleitung Ein klassisches Fehlerbild in Wazuh-Umgebungen mit Webhook-Integrationen: Alerts werden ausgelöst, Webhook-Ziele erhalten Events, auf dem Manager landen Einträge in alerts.json – aber im Threat Hunting (Dashboard/Discover) erscheint nichts Neues. In der Praxis ist das oft kein Problem der Analyse-Engine, sondern ein Indexer-Thema: Shard-Limits und daraus resultierende Indexing-Stopps bei Single-Node-Clusters. Dieser Beitrag zeigt, wie du … Weiterlesen

OpenSearch Audit Logs im Wazuh Indexer: Audit-Index wächst explosionsartig – auf Authentifizierung fokussieren und Cluster stabil halten

Einleitung Audit-Logs im OpenSearch Security Plugin sind für Compliance (z. B. PCI DSS) ein zentrales Kontrollinstrument, weil sich damit unter anderem erfolgreiche und fehlgeschlagene Authentifizierungen nachvollziehen lassen. Gleichzeitig können Audit-Logs in SIEM-Stacks wie Wazuh schnell zum Betriebsrisiko werden: Wenn jede systeminterne Bulk-Operation, jeder Indexzugriff und jede Hintergrundabfrage auditpflichtig protokolliert wird, wächst der Audit-Index massiv – … Weiterlesen

Wazuh Indexer von 3 Nodes auf 1 Node reduzieren bei ~42 Mio. Discover-Hits/Tag: So bewertest du Risiko, Performance und Datenverlust sauber

Einleitung Viele Wazuh-Installationen starten mit einem Indexer-Cluster, weil Verfügbarkeit, Skalierung und Performance damit grundsätzlich einfacher abzusichern sind. Gleichzeitig ist ein 3-Node-Indexer-Cluster nicht „gratis“: mehr Ressourcen, mehr Betriebsaufwand, mehr Komplexität bei Shards, Replikation und Upgrades. Wenn in Discover im Schnitt ~42.360.000 Hits pro Tag auftauchen, ist die Frage berechtigt: Reicht ein einzelner, ausreichend dimensionierter Indexer? Die … Weiterlesen