In der heutigen Welt der Cybersecurity ist Transparenz ein zentraler Baustein jeder Sicherheitsarchitektur. Wer hat sich wann eingeloggt? Welche Aktionen wurden ausgeführt? Und wo werden diese Informationen gespeichert?
Genau diese Fragen stellte Moiz Munawar heute Morgen im Wazuh-Community-Channel – und löste damit eine kleine, aber äußerst hilfreiche Diskussion aus.
Im Folgenden fassen wir den Austausch zusammen und bereiten ihn so auf, dass er für alle Wazuh-Anwender als leicht verständlicher Leitfaden dienen kann.
Die Frage: Wie kann man Benutzer-Audit-Logs im Wazuh-SIEM einsehen?
Moiz wollte wissen, ob Wazuh auditrelevante Informationen wie Benutzeranmeldungen standardmäßig aufzeichnet und ob man dafür zusätzliche Konfigurationen aktivieren muss.
Kurz: Wo findet man die Audit Logs – und sind sie automatisch aktiv?
Die Lösung: Audit Logs aktivieren und im Dashboard sichtbar machen
Der Wazuh-Support – in diesem Fall vertreten durch Hasitha Upekshitha – gab eine präzise und schnelle Anleitung, wie Audit Logs in OpenSearch aktiviert und anschließend im Wazuh-Dashboard angezeigt werden können.
1. Audit Logging in OpenSearch aktivieren
Öffne die Konfigurationsdatei:
nano /etc/wazuh-indexer/opensearch.yml
Füge folgende Zeile hinzu, um Audit-Logs im Cluster selbst zu speichern:
plugins.security.audit.type: internal_opensearch
Diese Option sorgt dafür, dass die Logs direkt im OpenSearch-Cluster abgelegt werden.
(Weitere Speicheroptionen finden sich in der offiziellen Dokumentation.)
2. Wazuh Indexer neu starten
Damit die Änderungen greifen:
systemctl restart wazuh-indexer
Danach einfach ein paar Minuten warten, bis OpenSearch alles initialisiert hat.
3. Index Pattern im Wazuh-Dashboard erstellen
Um die Audit-Logs sichtbar zu machen:
- Wazuh GUI öffnen
- Navigieren zu:
Dashboard management → Index patterns → Create index pattern - Als Pattern Name eingeben:
security-auditlog-* - Als Zeitfeld auswählen: @timestamp
- Create Index pattern bestätigen
4. Audit-Logs einsehen
Nun können die Logs über den Menüpunkt Discover eingesehen werden:
- Index Pattern auswählen:
security-auditlog-*
Damit erhält man vollständige Einsicht in die Aktivitäten, die im OpenSearch-Cluster stattfinden – ideal für Sicherheitsteams, Audits und Vorfallsanalysen.
Weiterführende Dokumentation
Hasitha teilte zudem die offizielle Dokumentation, die tiefer in die verschiedenen Audit-Log-Arten und Speichermechanismen einsteigt:
https://docs.opensearch.org/latest/security/audit-logs/storage-types/
https://docs.opensearch.org/latest/security/audit-logs/index/
Ergebnis: „Worked like a dime!“
Nur knapp eine Stunde nach seiner Frage meldete sich Moiz zurück – zufrieden und dankbar:
„Yup, it worked like a dime – thanks for your time!“
Ein schönes Beispiel dafür, wie schnell und effizient Community-Support funktionieren kann – und ein wertvoller Beitrag für alle, die ihre Wazuh-Umgebung auditfähig machen möchten.
Wenn ihr ebenfalls Fragen rund um Wazuh, OpenSearch oder SIEM-Konfiguration habt: Stell sie! Die Community – und die Dokumentation – helfen gerne weiter.
https://wazuh.slack.com/archives/C0A933R8E/p1764146351369749