Wazuh Cheat-Sheet (Manager-Konsole)

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Wazuh Cheat-Sheet (Manager-Konsole)

Alle Tools liegen in /var/ossec/bin/ und sind nicht im PATH — immer mit vollem Pfad aufrufen oder einmal export PATH=$PATH:/var/ossec/bin setzen.

Dienst steuern

Status aller Wazuh-Daemons
  • /var/ossec/bin/wazuh-control status
Start / Stop / Neustart (alle Daemons auf einmal)
  • /var/ossec/bin/wazuh-control start
  • /var/ossec/bin/wazuh-control stop
  • /var/ossec/bin/wazuh-control restart
Alternativ über systemd
  • systemctl status wazuh-manager
  • systemctl restart wazuh-manager

Agents anzeigen

Alle registrierten Agents auflisten (ID, Name, IP, Status)
  • /var/ossec/bin/agent_control -l
Nur verbundene Agents
  • /var/ossec/bin/agent_control -lc
Details zu einem Agent (z. B. ID 003)
  • /var/ossec/bin/agent_control -i 003
Liste direkt aus der Key-Datei
  • cat /var/ossec/etc/client.keys

Agent neu starten

Einen Agent per Manager neu starten
  • /var/ossec/bin/agent_control -R 003
Alle Agents neu starten
  • /var/ossec/bin/agent_control -R -a

Agent hinzufügen

Interaktives Menü (A=add, E=key extrahieren, L=list, R=remove)
  • /var/ossec/bin/manage_agents
Nicht-interaktiv
Agent anlegen
  • /var/ossec/bin/manage_agents -a 172.26.54.20 -n web01
Key eines Agents extrahieren (auf dem Agent importieren)
  • /var/ossec/bin/manage_agents -e 003

Agent entfernen

Per Flag (ID angeben)
  • /var/ossec/bin/manage_agents -r 003
Oder interaktiv
manage_agents starten -> R -> ID eingeben
  • /var/ossec/bin/manage_agents

Nach dem Entfernen den Manager neu starten, damit die Key-Datei sauber neu eingelesen wird.

  • systemctl restart wazuh-manager

Agent-Gruppen

Vorhandene Gruppen anzeigen
  • /var/ossec/bin/agent_groups -l
Agent einer Gruppe zuweisen
  • /var/ossec/bin/agent_groups -a -i 003 -g linux-server

Wichtige Konfigurationsdateien

Datei Zweck
/var/ossec/etc/ossec.conf Hauptkonfiguration des Managers
/var/ossec/etc/client.keys Registrierte Agents (ID, Name, IP, Key)
/var/ossec/etc/rules/local_rules.xml Eigene Regeln
/var/ossec/etc/decoders/local_decoder.xml Eigene Decoder
/var/ossec/etc/shared/default/agent.conf Zentrale Agent-Konfig (pro Gruppe)
/var/ossec/ruleset/rules/ Mitgelieferte Regeln (NICHT editieren)
/var/ossec/ruleset/decoders/ Mitgelieferte Decoder (NICHT editieren)

Eigene Anpassungen immer in die local_ Dateien — die Ruleset-Verzeichnisse werden bei Updates überschrieben.

Logs

Datei Inhalt
/var/ossec/logs/ossec.log Manager-Hauptlog (Fehler, Start, Decoder-Probleme)
/var/ossec/logs/alerts/alerts.log Alerts lesbar
/var/ossec/logs/alerts/alerts.json Alerts strukturiert (für Dashboard/Index)
/var/ossec/logs/archives/archives.json Alle Events (nur wenn logall_json aktiv)
Manager-Log live mitlesen
  • tail -f /var/ossec/logs/ossec.log
Alerts live mitlesen
  • tail -f /var/ossec/logs/alerts/alerts.log

Regeln und Decoder testen

Eine Logzeile durch die Decoder-/Regel-Kette jagen
  • /var/ossec/bin/wazuh-logtest
Verbose (zeigt jeden geprüften Decoder-Schritt)
  • /var/ossec/bin/wazuh-logtest -v

Konfiguration prüfen

ossec.conf auf Syntaxfehler testen (ohne Neustart)
  • /var/ossec/bin/wazuh-logtest-legacy -t
  • /var/ossec/bin/verify-agent-conf

API (kurz)

Token holen (Default-Port 55000)
TOKEN=$(curl -s -u wazuh:wazuh -k -X POST \
  "https://localhost:55000/security/user/authenticate?raw=true")
Agents über die API auflisten
curl -s -k -H "Authorization: Bearer $TOKEN" \
  "https://localhost:55000/agents?pretty=true"