Ausgangssituation
In großen Wazuh-Umgebungen (hier: >6.000 Agents) ist es Best Practice, den Master-Node möglichst schlank zu halten und primär für Agent-Registrierungen (Port 1515) sowie Cluster-Koordination zu nutzen.
Der Nutzer hatte bereits erfolgreich:
- NGINX durch HAProxy ersetzt
- den HAProxy Helper (Data Plane) gemäß offizieller Wazuh-Dokumentation implementiert
- eine deutlich stabilere Lastverteilung und schnelleres Recovery nach Worker-Restarts erreicht
👉 Die einzige offene Frage:
Wie kann verhindert werden, dass der Master-Node vom HAProxy Helper automatisch als Backend für Agent-Traffic (Port 1514) verwendet wird?
Die Lösung: excluded_nodes im HAProxy Helper
Wazuh bietet genau für diesen Anwendungsfall eine dedizierte Option im HAProxy Helper.
🔑 Zentrale Einstellung
Im Master-Node unter:
/var/ossec/etc/ossec.conf
kann im folgenden Block gearbeitet werden:
<cluster>
<haproxy_helper>
<excluded_nodes>
<node>wazuh-master</node>
</excluded_nodes>
</haproxy_helper>
</cluster>
📌 Wichtig:
- Der
<node>-Name muss exakt dem Cluster-Nodename entsprechen - Mehrere Nodes können ausgeschlossen werden
- Die Konfiguration wirkt sich auf die auto-generierte HAProxy-Backend-Liste für Port 1514 aus
Ergebnis
Nach Implementierung:
- ✅ Master-Node nimmt keine Agent-Events (1514) mehr an
- ✅ Worker-Nodes übernehmen vollständig die Agent-Last
- ✅ Master bleibt fokussiert auf:
- Agent-Registration (1515)
- Cluster-Management
- ✅ Stabilere Skalierung bei sehr großen Agent-Zahlen
Der Nutzer bestätigte unmittelbar:
„implemented and it works!!!!! Thanks a lot!“
Architektur-Best-Practice (Kurzfazit)
Für größere Wazuh-Cluster ist diese Trennung ausdrücklich empfehlenswert:
| Komponente | Aufgabe |
|---|---|
| Master Node | Agent-Registration, Cluster-Koordination |
| Worker Nodes | Event Processing (1514) |
| HAProxy + HA Helper | Dynamische, resiliente Agent-Verteilung |
| excluded_nodes | Schutz des Masters vor unnötiger Last |
Referenz
- Offizielle Wazuh-Dokumentation – HAProxy Helper:
Load balancers – Wazuh server cluster
https://wazuh.slack.com/archives/C0A933R8E/p1765784520408209