Vor ein paar Tagen habe ich bei einigen Agents im Wazuh Cluster die Agenten zwar verbunden gesehen, aber keine einkommenden Events. Also los zum Loadbalancer und schauen ob die Pakete auf 1514 ankommen und an die Worker geleitet werden. Das war dann auch so, allerdings wurden die Logs nur nie angezeigt, wenn der Loadbalancer die Verbindung zu dem Worker offen hatte, an dem die Agents NICHT registriert wurden.
Im alerts.log waren die Alerts vom jeweilige Agent vorhanden, aber eben nicht im Index. Wenn sowas passiert stimmt in 99% der Fälle etwas mit Filebeat nicht!
Auf den Nodes dann jeweils über die CLI:
systemctl status wazuh-manager
systemctl status filebeat
filebeat test output
Das Ende vom Lied war dann ein Update auf einem System welches nur ein apt update && apt upgrade bekommen hat, aber bei Wazuh gehört da etwas mehr dazu. Am besten immer 1:1 der Anleitung auf latest folgen:
https://documentation.wazuh.com/current/upgrade-guide/upgrading-central-components.html