Skip to main content

Index Management

Wazuh pflegt seine Daten auf dem Server unter unter /var/ossec/logs

Die wichtigsten sind:

  • /var/ossec/logs/alerts
  • /var/ossec/logs/archives

Letzteren finden Sie, erst wenn die Sysog aktiviert haben und auch Gerät welche keine Agents nutzen können unterstützen wollen (z.B. VMWare, Switche, Firewalls, Gateway, VPNs usw.).

Einige Logs überwacht Wazuh selber und führt einen automatischen Rollover durch (

Die Indizies (Logs) finden Sie wie folgt:

  • Loggen Sie sich im Wazuh Dashboard ein
  • Gehen Sie oben Links auf die drei Balken
  • Wählen Sie unten Index Management

image.png

  • Dann unter Indicies finden sie die Indizies - besonders die unter wazuh-archives-* (für Syslogs) können sehr groß werden.

image.png


Damit nun die Festplatte nicht voll läuft, sollten das Index Management eingerichtet werden. Hierzu bietet Wazuh einen Blogartikel an: https://wazuh.com/blog/wazuh-index-management/

Dieser Artikel beruht auf einer älteren Version und sieht ein wenig anders aus - das ist jedoch nicht schlimm, wir benötigen nur den unteren Textteil.

 

Richten wir nun eine Index Management Policy ein:

  • Gehen Sie links auf dem Punkt Index Policies
  • Wählen Sie oben rechts Create Policy
  • Wählen sie bei Configuration Method den JSON Editor aus
  • Vergeben sie nun eine Policy ID wie z.B. cleanup-policy
  • Ersetzen Sie den Inhalt durch den unten und wählen Sie Create
{
    "policy": {
        "description": "Wazuh index state management for OpenDistro to move indices into a cold state after 30 days and delete them after a year.",
        "default_state": "hot",
        "states": [
            {
                "name": "hot",
                "actions": [
                    {
                        "replica_count": {
                            "number_of_replicas": 1
                        }
                    }
                ],
                "transitions": [
                    {
                        "state_name": "cold",
                        "conditions": {
                            "min_index_age": "30d"
                        }
                    }
                ]
            },
            {
                "name": "cold",
                "actions": [
                    {
                        "read_only": {}
                    }
                ],
                "transitions": [
                    {
                        "state_name": "delete",
                        "conditions": {
                            "min_index_age": "365d"
                        }
                    }
                ]
            },
            {
                "name": "delete",
                "actions": [
                    {
                        "delete": {}
                    }
                ],
                "transitions": []
            }
        ],
       "ism_template": {
           "index_patterns": ["wazuh-alerts*"],
           "priority": 100
       }
    }
}

Sollten Sie mehrere Wazuhserver bzw. Knoten haben - dann können Sie auch mehrere Replicas wählen - maximal die Anzahl der Knoten, die sie haben.

Die Indizies, die aktuell genutzt werden sind Hot. Cold hingegen sind nur noch zum lesen vorhanden und belegen so weniger Systemressourcen (Ram und CPU, nicht Festplattenplatz). Delete gibt hingegen an, ab wann die Indizies (also die Dateien!) gelöscht werden. Diese sind danach nicht mehr zu nutzen, sofern sie diese nicht ausgelagert oder gesichert haben.

 



Back to top