Wazuh Cheat-Sheet (Manager-Konsole)
Zur Navigation springen
Zur Suche springen
Wazuh Cheat-Sheet (Manager-Konsole)
Alle Tools liegen in /var/ossec/bin/ und sind nicht im PATH — immer mit
vollem Pfad aufrufen oder einmal export PATH=$PATH:/var/ossec/bin setzen.
Dienst steuern
- Status aller Wazuh-Daemons
- /var/ossec/bin/wazuh-control status
- Start / Stop / Neustart (alle Daemons auf einmal)
- /var/ossec/bin/wazuh-control start
- /var/ossec/bin/wazuh-control stop
- /var/ossec/bin/wazuh-control restart
- Alternativ über systemd
- systemctl status wazuh-manager
- systemctl restart wazuh-manager
Agents anzeigen
- Alle registrierten Agents auflisten (ID, Name, IP, Status)
- /var/ossec/bin/agent_control -l
- Nur verbundene Agents
- /var/ossec/bin/agent_control -lc
- Details zu einem Agent (z. B. ID 003)
- /var/ossec/bin/agent_control -i 003
- Liste direkt aus der Key-Datei
- cat /var/ossec/etc/client.keys
Agent neu starten
- Einen Agent per Manager neu starten
- /var/ossec/bin/agent_control -R 003
- Alle Agents neu starten
- /var/ossec/bin/agent_control -R -a
Agent hinzufügen
- Interaktives Menü (A=add, E=key extrahieren, L=list, R=remove)
- /var/ossec/bin/manage_agents
- Nicht-interaktiv
- Agent anlegen
- /var/ossec/bin/manage_agents -a 172.26.54.20 -n web01
- Key eines Agents extrahieren (auf dem Agent importieren)
- /var/ossec/bin/manage_agents -e 003
Agent entfernen
- Per Flag (ID angeben)
- /var/ossec/bin/manage_agents -r 003
- Oder interaktiv
- manage_agents starten -> R -> ID eingeben
- /var/ossec/bin/manage_agents
Nach dem Entfernen den Manager neu starten, damit die Key-Datei sauber neu eingelesen wird.
- systemctl restart wazuh-manager
Agent-Gruppen
- Vorhandene Gruppen anzeigen
- /var/ossec/bin/agent_groups -l
- Agent einer Gruppe zuweisen
- /var/ossec/bin/agent_groups -a -i 003 -g linux-server
Wichtige Konfigurationsdateien
| Datei | Zweck |
|---|---|
| /var/ossec/etc/ossec.conf | Hauptkonfiguration des Managers |
| /var/ossec/etc/client.keys | Registrierte Agents (ID, Name, IP, Key) |
| /var/ossec/etc/rules/local_rules.xml | Eigene Regeln |
| /var/ossec/etc/decoders/local_decoder.xml | Eigene Decoder |
| /var/ossec/etc/shared/default/agent.conf | Zentrale Agent-Konfig (pro Gruppe) |
| /var/ossec/ruleset/rules/ | Mitgelieferte Regeln (NICHT editieren) |
| /var/ossec/ruleset/decoders/ | Mitgelieferte Decoder (NICHT editieren) |
Eigene Anpassungen immer in die local_ Dateien — die Ruleset-Verzeichnisse werden bei Updates überschrieben.
Logs
| Datei | Inhalt |
|---|---|
| /var/ossec/logs/ossec.log | Manager-Hauptlog (Fehler, Start, Decoder-Probleme) |
| /var/ossec/logs/alerts/alerts.log | Alerts lesbar |
| /var/ossec/logs/alerts/alerts.json | Alerts strukturiert (für Dashboard/Index) |
| /var/ossec/logs/archives/archives.json | Alle Events (nur wenn logall_json aktiv) |
- Manager-Log live mitlesen
- tail -f /var/ossec/logs/ossec.log
- Alerts live mitlesen
- tail -f /var/ossec/logs/alerts/alerts.log
Regeln und Decoder testen
- Eine Logzeile durch die Decoder-/Regel-Kette jagen
- /var/ossec/bin/wazuh-logtest
- Verbose (zeigt jeden geprüften Decoder-Schritt)
- /var/ossec/bin/wazuh-logtest -v
Konfiguration prüfen
- ossec.conf auf Syntaxfehler testen (ohne Neustart)
- /var/ossec/bin/wazuh-logtest-legacy -t
- /var/ossec/bin/verify-agent-conf
API (kurz)
- Token holen (Default-Port 55000)
TOKEN=$(curl -s -u wazuh:wazuh -k -X POST \
"https://localhost:55000/security/user/authenticate?raw=true")
- Agents über die API auflisten
curl -s -k -H "Authorization: Bearer $TOKEN" \
"https://localhost:55000/agents?pretty=true"