Wazuh Dashboard verliert Verbindung zum Indexer nach manueller Index-Löschung: Ursachen, Security-Reinit und saubere Recovery

Einleitung Wazuh-Umgebungen stehen und fallen mit einem konsistenten Wazuh Indexer (OpenSearch). Sobald Indexdaten “auf Dateisystemebene” manuell entfernt werden, kann das zwar kurzfristig Speicherplatz schaffen, aber auch Cluster-Metadaten, Shard-Zuordnungen und sicherheitsrelevante Systemindizes beschädigen. Die Folge reicht von roten Clusterzuständen bis hin zu nicht initialisierter OpenSearch-Security – und damit zu einem nicht mehr erreichbaren Wazuh Dashboard. Ausgangslage … Weiterlesen

Passwortänderungen in Wazuh auf Kubernetes: Fallstricke, Reihenfolge und Best Practices

Einleitung Der Betrieb von Wazuh auf Kubernetes bringt viele Vorteile in Bezug auf Skalierbarkeit und Automatisierung – erhöht aber gleichzeitig die Komplexität bei sicherheitsrelevanten Änderungen. Besonders deutlich wird dies beim Ändern von Benutzerpasswörtern für Indexer- und API-Komponenten. Ein scheinbar einfacher Vorgang kann schnell zu Authentifizierungsfehlern oder nicht mehr erreichbaren Services führen, wenn die Abhängigkeiten zwischen … Weiterlesen

Wazuh Custom Rules & Time-Based Detection: Warum die Syntax oft scheitert — und wie du es richtig machst

Daniel meldete ein Problem, das viele Wazuh-Nutzer kennen:Beim Upload einer Custom Rule über das Dashboard erscheint nur: Selbst wenn die Regel eigentlich harmlos aussieht. In diesem Beitrag zeige ich: Problem 1: Fehlerhafte Syntax bei Frequenz-Regeln Die erste Regel des Users: Was war falsch? Fehler 1 — if_sid falsch eingesetzt if_sid ist für eine einfache Regellogik.Für … Weiterlesen

PostgreSQL-Auth-Fehler in Wazuh sauber dekodieren und als Rule alerten: Decoder-Design, Feldextraktion und Rule-Chaining

Einleitung Fehlgeschlagene Datenbank-Authentifizierungen gehören zu den wichtigsten Signalen in einem SIEM: Sie sind häufiges Symptom für Credential-Stuffing, Brute-Force-Versuche, Fehlkonfigurationen oder ausgerollte Systeme ohne korrekt gesetzte Secrets. Damit Wazuh solche Ereignisse zuverlässig erkennt, braucht es zwei Bausteine: einen Decoder, der die relevanten Felder aus dem Log extrahiert (z. B. den betroffenen PostgreSQL-User), und passende Rules, die … Weiterlesen

Wazuh Indexer „Circuit Breaking Exception“: Warum dein Cluster plötzlich stehenbleibt – und wie du es sauber behebst

Suresh und Bhanu meldeten ein Problem, das in vielen produktiven Wazuh-Installationen auftaucht:Plötzlich ist das Dashboard nicht erreichbar, Queries schlagen fehl – und der Wazuh-Indexer meldet: Ein klassischer Fall von: Zu wenig Heap – zu viel Arbeit für den Indexer OpenSearch (bzw. der Wazuh-Indexer) schützt sich selbst vor Out-of-Memory-Situationen. Wenn eine Operation (z. B. eine Suche, … Weiterlesen

Wazuh Migration & Wiederherstellung

RBAC, Rollen, User und Agent-Gruppen korrekt sichern und wiederherstellen Einleitung Nach einer Neuinstallation oder Migration eines Wazuh-Clusters stellt sich häufig heraus, dass zwar Agenten, Indizes und Logs wieder vorhanden sind – aber sicherheitsrelevante Metadaten fehlen. Dazu zählen insbesondere: Dieser Artikel erklärt wo diese Informationen gespeichert sind, wie sie korrekt gesichert werden und welche Restore-Strategien zukunftssicher … Weiterlesen

Azure-Logs in Wazuh: Warum das Wodle in Wellen arbeitet – und wie du Spikes, Flooding & Index-Hygiene in den Griff bekommst

Tim hat in der Wazuh-Community ein klassisches Szenario geschildert: Dazu kamen zwei zentrale Fragen: Schauen wir uns an, was im Thread herausgearbeitet wurde – und was du davon in deinem eigenen Setup nutzen kannst. 1. Setup: Azure Storage + azure-logs Wodle Tim nutzt das azure-logs Wodle in der Storage-Variante (nicht Log Analytics): Wichtige Punkte: Er … Weiterlesen

Wenn Auditd plötzlich dich selbst überwacht

Wie wir /var/log überwachen wollten – und Wazuh zum Noise-Generator wurde Wer Auditd produktiv einsetzen will, lernt relativ schnell eine harte Wahrheit: Auditd ist gnadenlos ehrlich.Es loggt nicht nur Angriffe – sondern auch dich selbst. In diesem Beitrag zeige ich, wie wir auf Debian ein sauberes Auditd-Setup für Wazuh aufgebaut haben, warum plötzlich der Wazuh-Logcollector … Weiterlesen

Custom Fortigate-Decoders und -Rules nach Linux-Migration in Wazuh: „Permission denied“ sauber beheben und Updatesicher deployen

Einleitung Bei einer Migration des Wazuh-Servers (z. B. von CentOS 8 auf Rocky Linux) sind Custom Decoders und Rules oft der Teil, der am schnellsten „still“ kaputtgeht: Die Dateien sind zwar kopiert, aber Wazuh lädt sie nicht – und im Dashboard erscheinen kryptische Meldungen wie „No decoder was returned (1502)“ oder „No rule was returned … Weiterlesen

SFTP-Logs mit Wazuh decodieren: Vom Regex-Monster zur eleganten Ein-Zeilen-Lösung

Costantino wollte SFTP-Transfers auf einem Linux-Server sauber in Wazuh auswerten.Die Logs sehen in etwa so aus: Mit anderen Worten: Costantino wollte daraus u. a. folgende Felder holen: Sein erster Ansatz: sehr komplexe Regexe mit Timestamp am Anfang und jede Menge Child-Decoder. Ergebnis: Logs wurden nicht oder nur teilweise korrekt decodiert. Schauen wir uns an, warum … Weiterlesen