Einleitung
Viele Wazuh-Admins nutzen die IT-Hygiene-Funktion, um installierte Software-Pakete über alle Endpunkte hinweg zentral zu überwachen. Ein typisches Problem dabei: Auch nachdem Pakete auf Endpunkten deinstalliert wurden, erscheinen sie weiterhin im IT-Hygiene-Dashboard. Dieser Artikel erklärt die Ursachen, die Funktionsweise des Wazuh-Syscollector-Moduls und gibt praxisnahe Tipps zur Fehleranalyse und -behebung.
Ausgangslage / Problemstellung
Ein Nutzerbericht aus dem Wazuh-Community-Forum schildert folgendes Verhalten:
Nach dem Entfernen von Software auf Endpunkten werden die alten Paket-Einträge weiterhin im IT-Hygiene-Dashboard angezeigt. Eine unmittelbare Aktualisierung erfolgt offenkundig nicht. Das kann zu falschen Bestandsübersichten und Problemen bei Asset-Monitoring oder Compliance-Berichten führen.
Technische Analyse
Syscollector sammelt und sendet Bestandsdaten
Die IT-Hygiene-Funktion basiert auf dem Syscollector-Modul des Wazuh-Agents, das systemweit Paket- und weitere Inventarinformationen sammelt und an den Wazuh-Manager/Indexer weiterleitet. Wazuh Dokumentation+1
- Syscollector läuft periodisch und sammelt Installationsdaten, darunter Packages. Wazuh Dokumentation
- Standardmäßig ist ein Scan-Intervall von 1 Stunde konfiguriert (
interval=1h). Hafiz Kh - Die Ergebnisse werden lokal zwischengespeichert, zum Manager übertragen, dort verarbeitet und schließlich im Indexer abgelegt, welcher die Daten für das IT-Hygiene-Dashboard bereitstellt. Wazuh Dokumentation
Warum alte Pakete sichtbar bleiben
1. Zeitverzögerung durch das Scan-Intervall
Nach der Paketentfernung erkennt Syscollector die Änderung erst mit dem nächsten geplanten Scan. Bis dahin verbleiben die alten Daten im Dashboard. Hafiz Kh
2. Syscollector läuft nicht korrekt
Wenn der Agent-Scan nicht ausgeführt wurde (z. B. Dienst gestoppt, Konfigurationsfehler), werden alte Inventareinträge nicht überschrieben.
3. Indexer-Synchronisation / Manager Probleme
Even wenn der Agent korrekt scannt, kann eine fehlende Übertragung, fehlerhafte Indexer-Connector-Konfiguration oder Indexer-Authentifizierungsfehler verhindern, dass neue Daten im Index aktualisiert werden. Wazuh Dokumentation
4. Index-Anomalien / Datenbankverhalten
An Wazuh-Issues wurde beobachtet, dass falsche oder zusätzliche Einträge im Inventar gespeichert werden, statt bestehende zu aktualisieren. Das kann das Dashboard-Verhalten beeinflussen, auch wenn die API-Daten aktuell sind. GitHub
Lösung / Best Practices
1. Erzwungener Syscollector-Scan
Du kannst eine sofortige Inventaraktualisierung auslösen:
- Agent neustarten → bei aktiviertem
scan_on_startwird sofort ein Scan ausgeführt. Hafiz Khsudo systemctl restart wazuh-agent - Alternativ das Scan-Intervall temporär reduzieren (z. B. auf 5–10 Minuten), um schnellere Aktualisierungen zu erhalten. Hafiz Kh
2. Log-Analyse auf Agent und Manager
Prüfe auf Agent-Seite, ob Syscollector-Scans ausgeführt wurden:
grep -iE "syscollector" /var/ossec/logs/ossec.log
Das sollte wiederholte Start/Finished-Einträge zeigen.
Auf dem Wazuh-Manager filtere Logs bzgl. Sync-/Indexer-Fehler:
grep -iE "sync|indexer-connector|error|warn" /var/ossec/logs/ossec.log
Fehlermeldungen können auf Probleme mit der Manager-zu-Indexer-Kommunikation oder Agent-Sync hinweisen. Wazuh Dokumentation
3. Indexer Connector prüfen
Stelle sicher, dass der indexer-Block in der Manager-Konfiguration korrekt gesetzt ist, inklusive Host, Zertifikaten und Zugangsdaten. Fehler hier verhindern, dass Inventardaten korrekt im Indexer landen. Wazuh Dokumentation
4. Daten im Indexer direkt prüfen
Du kannst via Dev Tools oder API nachsehen, ob die Indexerdaten wirklich veraltet sind:
GET /wazuh-states-inventory-packages-*/_search?pretty
So lässt sich verifizieren, ob im Index alte Pakete noch gespeichert sind. Wazuh Dokumentation
5. Problembehebung bei Index-Inkonsistenzen
In seltenen Fällen können Index-Anomalien auftreten (z. B. nicht aktualisierte Dokumente). Dann kann u. U. eine Bereinigung bzw. erneute Erstellung des betroffenen Index notwendig sein (mit entsprechenden Vorsichtsmaßnahmen).
Lessons Learned / Best Practices
- Intervalle und Scan On Start: Setze sinnvolle Intervalle und aktiviere
scan_on_start, damit Inventaränderungen zeitnah erkannt werden. Hafiz Kh - Monitoring: Richte Alerts ein, wenn Syscollector-Scans ausbleiben oder Fehler beim Indexer auftreten.
- Indexpflege: Beobachte die Wazuh-Indexer-Indices regelmäßig, um veraltete Daten zu erkennen.
- Dokumentationskonsistenz: Verwende immer aktuelle Wazuh-Dokumentationsquellen, um Konfigurationsänderungen nachzuvollziehen. Wazuh Dokumentation
Fazit
Das Verhalten „entfernte Pakete erscheinen weiter im IT-Hygiene-Dashboard“ ist in den meisten Fällen kein Fehler im Dashboard selbst, sondern ein Zusammenspiel aus Syscollector-Scan-Timing, Agent/Manager-Kommunikation und Indexer-Datenfluss. Durch gezielte Analyse der Scans, Logs und Indexer-Konfiguration lässt sich das Problem zuverlässig identifizieren und beheben – und sorgt so für eine korrekte, zeitnahe Inventaranzeige.
https://wazuh.slack.com/archives/C0A933R8E/p1767338242145379