Wazuh Dashboard nach Reindexing defekt: Index-Pattern-ID und fehlende Templates als Ursache für kaputte Visualisierungen

Einleitung

Reindexing ist im Wazuh-Umfeld ein bewährtes Mittel, um Mapping-Konflikte zu beheben oder Datenstrukturen zu bereinigen. Besonders bei wazuh-alerts-* Indizes können inkonsistente Feldtypen zu Aggregationsfehlern und fehlerhaften Dashboards führen.

Doch nach einem Reindexing treten häufig neue Probleme auf: Visualisierungen brechen, Dashboards zeigen Fehler wie “Could not locate that index-pattern” oder Aggregationen funktionieren nicht mehr. Dieser Beitrag analysiert die Ursachen und zeigt, wie sich Visualisierungen ohne kompletten Neuaufbau wiederherstellen lassen.

Ausgangslage / Problemstellung

In einer produktiven Umgebung traten Mapping-Konflikte innerhalb der wazuh-alerts-* Indizes auf.

Zur Bereinigung wurde folgendes Vorgehen gewählt:

Erstellung eines neuen, sauberen Indexes (z. B. wazuh-fixed-alerts)
Reindexing aller Daten in diesen neuen Index
Anpassung von Aliasen
Ersetzen des ursprünglichen Index-Patterns

Ergebnis:

Alle gespeicherten Visualisierungen im Wazuh Dashboard waren defekt
Fehlermeldung: Could not locate that index-pattern (id: wazuh-alerts-*)
Neu erstelltes Index-Pattern verknüpft Visualisierungen nicht automatisch
Teilweise zusätzliche Fehler: Saved field ‚agent.name‘ is invalid for use with the ‚Terms‘ aggregation

Technische Analyse

Die Probleme haben zwei unterschiedliche Ursachen.

Problem 1: Falsche Index-Pattern-ID

Wazuh speichert seine Visualisierungen als sogenannte Saved Objects im OpenSearch-Index .kibana.

Wichtig:
Visualisierungen referenzieren nicht nur den Namen eines Index-Patterns, sondern dessen interne ID.

Wazuh erwartet bei Standard-Patterns eine feste ID, die exakt dem Pattern entspricht:

wazuh-alerts-*

Wird ein neues Index-Pattern über die Standard-Oberfläche erstellt, erzeugt OpenSearch Dashboards:

eine zufällige interne ID
mit gleichem Pattern-Namen
aber anderer Objekt-ID

Folge:

Visualisierungen suchen nach ID wazuh-alerts-*
Gefunden wird nur eine zufällige ID
Referenz bricht
Visualisierungen laden nicht

Das reine Neuanlegen des Patterns reicht daher nicht aus.

Problem 2: Fehlende Wazuh-Index-Templates

Der Fehler:

Saved field 'agent.name' is invalid for use with the 'Terms' aggregation

weist auf ein Mapping-Problem hin.

Ursache:

Der neue Index wurde ohne korrekt angewendetes Wazuh-Index-Template erstellt
Felder wie agent.name wurden als text statt keyword angelegt
Terms-Aggregationen funktionieren nur mit keyword-Feldern

In Wazuh sind viele Dashboard-Visualisierungen abhängig von:

keyword-Feldern
Multi-Field-Mappings
korrekten analyzers
Wazuh-spezifischen Templates

Fehlt das Template beim Reindexing oder wurde der Zielindex manuell erstellt, entstehen inkonsistente Mappings.

Lösung / Best Practices

Schritt 1: Korrekte Wiederherstellung des Index-Patterns

Löschen des fehlerhaften Index-Patterns wazuh-alerts-*
Neues Pattern erstellen:
- Pattern: wazuh-alerts-*
- Time field auswählen
Show advanced settings öffnen
Feld „Custom index pattern ID“ setzen auf: wazuh-alerts-*

Entscheidend:
Die ID muss exakt dem Pattern-Namen entsprechen.

Ergebnis:

Gespeicherte Visualisierungen finden ihre Referenz wieder
Ein Großteil der Dashboards funktioniert sofort

Schritt 2: Falls Indizes umbenannt wurden – Rollback per Reindex

Wenn Daten von:

wazuh-alerts-4.x-2026.02.03

nach:

wazuh-fixed-alerts

verschoben wurden, empfiehlt sich die Rückführung auf den Originalnamen.

Im Dev Tools Bereich des Indexers:

POST /_reindex
{
  "source": {
    "index": "wazuh-fixed-alerts"
  },
  "dest": {
    "index": "wazuh-alerts-4.x-2026.02.03"
  }
}

Wichtig:

Zielindex darf nicht existieren oder muss vorher gelöscht werden
Template muss vor Erstellung des Zielindexes korrekt geladen sein

Referenz:
https://documentation.wazuh.com/current/user-manual/wazuh-indexer/re-indexing.html

Schritt 3: Sicherstellen, dass das Wazuh-Template angewendet wird

Vor dem Reindexing prüfen:

GET _index_template

Es muss ein Wazuh-Template existieren, das auf wazuh-alerts-* matcht.

Falls nicht:

Template erneut installieren
Index löschen
Reindex erneut durchführen

Nur so werden Felder wie:

agent.name
rule.id
data.srcip

korrekt als keyword-Felder erzeugt.

Schritt 4: Einzelne defekte Visualisierungen identifizieren

Wenn Visualisierungen in einem Dashboard weiterhin Fehler zeigen:

Dashboard in Edit-Modus öffnen
Panels einzeln anklicken
Über „Inspect“ oder „Edit visualization“ prüfen
Alternativ:
- Management → Saved Objects
- Nach Fehlermeldungen filtern
- Referenzierte Felder prüfen

Das erlaubt gezieltes Debugging statt kompletter Neuerstellung.

Lessons Learned / Best Practices

1. Index-Pattern-ID ist kritisch

In Wazuh-Umgebungen darf das Default-Pattern niemals mit zufälliger ID neu angelegt werden.

Regel:

ID muss exakt dem Pattern entsprechen.

2. Reindexing niemals ohne Template-Prüfung durchführen

Vor jedem Reindex:

Template prüfen
Zielindex nicht manuell mit falschem Mapping anlegen
Kein Blind-Reindex ohne Mapping-Kontrolle

3. Alias-Anpassung ist kein Ersatz für korrekte Mappings

Aliases helfen bei Namenswechseln, lösen aber keine Mapping-Fehler.

Mapping-Probleme führen immer zu:

Aggregationsfehlern
Terms-Problemen
Dashboard-Inkonsistenzen

4. Produktionsumgebungen: Snapshot vor Reindex

Empfehlung:

Snapshot erstellen
Test-Reindex in Staging durchführen
Template validieren
Erst danach produktiv migrieren

5. Wazuh-Dashboards sind stark mapping-abhängig

Die Standard-Visualisierungen setzen voraus:

korrekte Feldtypen
Multi-field keyword mappings
konsistente Index-Namensstruktur

Abweichungen führen fast immer zu Folgeschäden im Dashboard.

Fazit

Das Reindexing von wazuh-alerts-* Indizes kann Mapping-Konflikte beheben – birgt jedoch erhebliche Risiken für bestehende Dashboards.

Die häufigsten Ursachen für defekte Visualisierungen sind:

Falsche oder zufällige Index-Pattern-ID
Fehlende oder nicht angewendete Wazuh-Templates
Falsch gemappte Felder ohne keyword-Typ

Mit der korrekten Wiederherstellung der Index-Pattern-ID und sauberem Reindexing unter Verwendung des offiziellen Wazuh-Templates lassen sich Visualisierungen in den meisten Fällen vollständig wiederherstellen – ohne sie neu erstellen zu müssen.

Sauberes Template-Management ist in Wazuh-Umgebungen kein optionales Detail, sondern eine zentrale Betriebsanforderung.