Alles rund ums Thema Wazuh
Daniel meldete ein Problem, das viele Wazuh-Nutzer kennen:Beim Upload einer Custom Rule über das Dashboard erscheint nur: Selbst wenn die Regel eigentlich harmlos aussieht. In diesem Beitrag zeige ich: Problem 1: Fehlerhafte Syntax bei Frequenz-Regeln Die erste Regel des Users: Was war falsch? Fehler 1 — if_sid falsch eingesetzt if_sid ist für eine einfache Regellogik.Für … Weiterlesen
Einleitung Fehlgeschlagene Datenbank-Authentifizierungen gehören zu den wichtigsten Signalen in einem SIEM: Sie sind häufiges Symptom für Credential-Stuffing, Brute-Force-Versuche, Fehlkonfigurationen oder ausgerollte Systeme ohne korrekt gesetzte Secrets. Damit Wazuh solche Ereignisse zuverlässig erkennt, braucht es zwei Bausteine: einen Decoder, der die relevanten Felder aus dem Log extrahiert (z. B. den betroffenen PostgreSQL-User), und passende Rules, die … Weiterlesen
Suresh und Bhanu meldeten ein Problem, das in vielen produktiven Wazuh-Installationen auftaucht:Plötzlich ist das Dashboard nicht erreichbar, Queries schlagen fehl – und der Wazuh-Indexer meldet: Ein klassischer Fall von: Zu wenig Heap – zu viel Arbeit für den Indexer OpenSearch (bzw. der Wazuh-Indexer) schützt sich selbst vor Out-of-Memory-Situationen. Wenn eine Operation (z. B. eine Suche, … Weiterlesen
RBAC, Rollen, User und Agent-Gruppen korrekt sichern und wiederherstellen Einleitung Nach einer Neuinstallation oder Migration eines Wazuh-Clusters stellt sich häufig heraus, dass zwar Agenten, Indizes und Logs wieder vorhanden sind – aber sicherheitsrelevante Metadaten fehlen. Dazu zählen insbesondere: Dieser Artikel erklärt wo diese Informationen gespeichert sind, wie sie korrekt gesichert werden und welche Restore-Strategien zukunftssicher … Weiterlesen
Tim hat in der Wazuh-Community ein klassisches Szenario geschildert: Dazu kamen zwei zentrale Fragen: Schauen wir uns an, was im Thread herausgearbeitet wurde – und was du davon in deinem eigenen Setup nutzen kannst. 1. Setup: Azure Storage + azure-logs Wodle Tim nutzt das azure-logs Wodle in der Storage-Variante (nicht Log Analytics): Wichtige Punkte: Er … Weiterlesen
Einleitung Bei einer Migration des Wazuh-Servers (z. B. von CentOS 8 auf Rocky Linux) sind Custom Decoders und Rules oft der Teil, der am schnellsten „still“ kaputtgeht: Die Dateien sind zwar kopiert, aber Wazuh lädt sie nicht – und im Dashboard erscheinen kryptische Meldungen wie „No decoder was returned (1502)“ oder „No rule was returned … Weiterlesen
Costantino wollte SFTP-Transfers auf einem Linux-Server sauber in Wazuh auswerten.Die Logs sehen in etwa so aus: Mit anderen Worten: Costantino wollte daraus u. a. folgende Felder holen: Sein erster Ansatz: sehr komplexe Regexe mit Timestamp am Anfang und jede Menge Child-Decoder. Ergebnis: Logs wurden nicht oder nur teilweise korrekt decodiert. Schauen wir uns an, warum … Weiterlesen
Einleitung Stabile Agent-Konnektivität ist die Grundlage jeder Wazuh-Installation. Wenn plötzlich alle Agenten im Dashboard als „disconnected“ erscheinen, obwohl Systeme laufen und Benutzer aktiv sind, deutet dies meist auf ein zentrales Konfigurations- oder Kommunikationsproblem hin. Besonders kritisch wird es, wenn mehrere Funktionen – etwa Agent-Kommunikation und Syslog-Empfang – auf derselben Schnittstelle konfiguriert werden. Dieser Beitrag analysiert … Weiterlesen
Einleitung High Availability (HA) in SIEM- und XDR-Umgebungen wird oft mit “mehr Knoten” gleichgesetzt. In der Praxis unterscheiden sich jedoch Datenebene, Kontroll-/Konfigurationsebene und UI-Schicht deutlich darin, wie (und ob) sie sich hochverfügbar betreiben lassen. In Wazuh ist das besonders relevant, weil der Wazuh Manager (Server) neben Event-Ingestion auch zentrale Steuerfunktionen übernimmt, während der Wazuh Indexer … Weiterlesen
Mah Wen Qiang wollte CrowdStrike-Logs sauber in Wazuh integrieren: „Crowdstrike alert – User authentication success – UserId: …“ Im archives.json ist das Event da – mit sauberem JSON-Decoder und data.metadata / data.event Feldern. Aber:Im Wazuh „Discover“/„Kibana“/„OpenSearch Dashboards“ taucht der Alert nicht auf.Gleichzeitig meldet Filebeat: mapper_parsing_exception … failed to parse field [full_log] of type [text] Später … Weiterlesen