Bei einem unserer Kunden die rein in AWS arbeiten, haben wir das neueste Update von Wazuh 4.12 eingespielt, nachdem alle unsere internen Tests (basierend auf Ubuntu) erfolgreich verlaufen sind.
Da die AMI auf Amazon Linux2 (CentOS) basiert, lief hier das Update via
yum update… nicht ganz so rund.
Erst eine Warnung dass Wazuh-Indexer nicht läuft und im Log ein Java-Fehler
[2025-05-08T12:47:58,329][ERROR][o.o.b.OpenSearchUncaughtExceptionHandler] [node-1] uncaught exception in thread [main]
org.opensearch.bootstrap.StartupException: java.lang.IllegalStateException: jar hell!
class: org.apache.lucene.search.join.BaseGlobalOrdinalScorer
jar1: /usr/share/wazuh-indexer/lib/lucene-join-9.12.1.jar
jar2: /usr/share/wazuh-indexer/lib/lucene-join-9.11.1.jar
at org.opensearch.bootstrap.OpenSearch.init(OpenSearch.java:185) ~[opensearch-2.19.1.jar:2.19.1]
at org.opensearch.bootstrap.OpenSearch.execute(OpenSearch.java:172) ~[opensearch-2.19.1.jar:2.19.1]
at org.opensearch.cli.EnvironmentAwareCommand.execute(EnvironmentAwareCommand.java:104) ~[opensearch-2.19.1.jar:2.19.1]
at org.opensearch.cli.Command.mainWithoutErrorHandling(Command.java:138) ~[opensearch-cli-2.19.1.jar:2.19.1]
at org.opensearch.cli.Command.main(Command.java:101) ~[opensearch-cli-2.19.1.jar:2.19.1]
at org.opensearch.bootstrap.OpenSearch.main(OpenSearch.java:138) ~[opensearch-2.19.1.jar:2.19.1]
at org.opensearch.bootstrap.OpenSearch.main(OpenSearch.java:104) ~[opensearch-2.19.1.jar:2.19.1]
Caused by: java.lang.IllegalStateException: jar hell!
class: org.apache.lucene.search.join.BaseGlobalOrdinalScorer
jar1: /usr/share/wazuh-indexer/lib/lucene-join-9.12.1.jar
jar2: /usr/share/wazuh-indexer/lib/lucene-join-9.11.1.jar
at org.opensearch.bootstrap.JarHell.checkClass(JarHell.java:316) ~[opensearch-common-2.19.1.jar:2.19.1]
at org.opensearch.bootstrap.JarHell.checkJarHell(JarHell.java:215) ~[opensearch-common-2.19.1.jar:2.19.1]
at org.opensearch.bootstrap.JarHell.checkJarHell(JarHell.java:102) ~[opensearch-common-2.19.1.jar:2.19.1]
at org.opensearch.bootstrap.Bootstrap.setup(Bootstrap.java:227) ~[opensearch-2.19.1.jar:2.19.1]
at org.opensearch.bootstrap.Bootstrap.init(Bootstrap.java:404) ~[opensearch-2.19.1.jar:2.19.1]
at org.opensearch.bootstrap.OpenSearch.init(OpenSearch.java:181) ~[opensearch-2.19.1.jar:2.19.1]Ein Startversuch vom Indexer und auch ein Neustart vom Linux bringt nur den Fehlerblock, mehr nicht.
Das Problem war, dass beim Upgrade sowohl wazuh-indexer 4.11 als auch wazuh-indexer 4.12 installiert waren. Herausgefunden haben wir das bei der Kontrolle der installierten Plugins via
sudo -u wazuh-dashboard /usr/share/wazuh-dashboard/bin/opensearch-dashboards-plugin listDabei kam die Meldung, dass das Plugin nur für Version 2.19 kompatibel ist, nicht aber für 2.16.
Mit
rpm -qa | grep wazuhwar das schnell gefunden und mit
rpm -e wazuh-indexer-4.11
yum reinstall wazuh-indexer gefixt.
Also, Augen auf beim Update!