<?xml version="1.0"?>
<feed xmlns="http://www.w3.org/2005/Atom" xml:lang="de">
	<id>https://wiki.ixheim.de/index.php?action=history&amp;feed=atom&amp;title=Wazuh_Cheat-Sheet_%28Manager-Konsole%29</id>
	<title>Wazuh Cheat-Sheet (Manager-Konsole) - Versionsgeschichte</title>
	<link rel="self" type="application/atom+xml" href="https://wiki.ixheim.de/index.php?action=history&amp;feed=atom&amp;title=Wazuh_Cheat-Sheet_%28Manager-Konsole%29"/>
	<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Wazuh_Cheat-Sheet_(Manager-Konsole)&amp;action=history"/>
	<updated>2026-07-06T05:58:29Z</updated>
	<subtitle>Versionsgeschichte dieser Seite in Xinux Wiki</subtitle>
	<generator>MediaWiki 1.35.1</generator>
	<entry>
		<id>https://wiki.ixheim.de/index.php?title=Wazuh_Cheat-Sheet_(Manager-Konsole)&amp;diff=71503&amp;oldid=prev</id>
		<title>Thomas.will: Die Seite wurde neu angelegt: „= Wazuh Cheat-Sheet (Manager-Konsole) =  Alle Tools liegen in '''/var/ossec/bin/''' und sind nicht im PATH — immer mit vollem Pfad aufrufen oder einmal &lt;code…“</title>
		<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Wazuh_Cheat-Sheet_(Manager-Konsole)&amp;diff=71503&amp;oldid=prev"/>
		<updated>2026-06-28T06:01:26Z</updated>

		<summary type="html">&lt;p&gt;Die Seite wurde neu angelegt: „= Wazuh Cheat-Sheet (Manager-Konsole) =  Alle Tools liegen in &amp;#039;&amp;#039;&amp;#039;/var/ossec/bin/&amp;#039;&amp;#039;&amp;#039; und sind nicht im PATH — immer mit vollem Pfad aufrufen oder einmal &amp;lt;code…“&lt;/p&gt;
&lt;p&gt;&lt;b&gt;Neue Seite&lt;/b&gt;&lt;/p&gt;&lt;div&gt;= Wazuh Cheat-Sheet (Manager-Konsole) =&lt;br /&gt;
&lt;br /&gt;
Alle Tools liegen in '''/var/ossec/bin/''' und sind nicht im PATH — immer mit&lt;br /&gt;
vollem Pfad aufrufen oder einmal &amp;lt;code&amp;gt;export PATH=$PATH:/var/ossec/bin&amp;lt;/code&amp;gt; setzen.&lt;br /&gt;
&lt;br /&gt;
== Dienst steuern ==&lt;br /&gt;
;Status aller Wazuh-Daemons&lt;br /&gt;
*/var/ossec/bin/wazuh-control status&lt;br /&gt;
&lt;br /&gt;
;Start / Stop / Neustart (alle Daemons auf einmal)&lt;br /&gt;
*/var/ossec/bin/wazuh-control start&lt;br /&gt;
*/var/ossec/bin/wazuh-control stop&lt;br /&gt;
*/var/ossec/bin/wazuh-control restart&lt;br /&gt;
&lt;br /&gt;
;Alternativ über systemd&lt;br /&gt;
*systemctl status wazuh-manager&lt;br /&gt;
*systemctl restart wazuh-manager&lt;br /&gt;
&lt;br /&gt;
== Agents anzeigen ==&lt;br /&gt;
;Alle registrierten Agents auflisten (ID, Name, IP, Status)&lt;br /&gt;
*/var/ossec/bin/agent_control -l&lt;br /&gt;
&lt;br /&gt;
;Nur verbundene Agents&lt;br /&gt;
*/var/ossec/bin/agent_control -lc&lt;br /&gt;
&lt;br /&gt;
;Details zu einem Agent (z. B. ID 003)&lt;br /&gt;
*/var/ossec/bin/agent_control -i 003&lt;br /&gt;
&lt;br /&gt;
;Liste direkt aus der Key-Datei&lt;br /&gt;
*cat /var/ossec/etc/client.keys&lt;br /&gt;
&lt;br /&gt;
== Agent neu starten ==&lt;br /&gt;
;Einen Agent per Manager neu starten&lt;br /&gt;
*/var/ossec/bin/agent_control -R 003&lt;br /&gt;
&lt;br /&gt;
;Alle Agents neu starten&lt;br /&gt;
*/var/ossec/bin/agent_control -R -a&lt;br /&gt;
&lt;br /&gt;
== Agent hinzufügen ==&lt;br /&gt;
;Interaktives Menü (A=add, E=key extrahieren, L=list, R=remove)&lt;br /&gt;
*/var/ossec/bin/manage_agents&lt;br /&gt;
&lt;br /&gt;
;Nicht-interaktiv: Agent anlegen&lt;br /&gt;
*/var/ossec/bin/manage_agents -a 172.26.54.20 -n web01&lt;br /&gt;
&lt;br /&gt;
;Key eines Agents extrahieren (auf dem Agent importieren)&lt;br /&gt;
*/var/ossec/bin/manage_agents -e 003&lt;br /&gt;
&lt;br /&gt;
== Agent entfernen ==&lt;br /&gt;
;Per Flag (ID angeben)&lt;br /&gt;
*/var/ossec/bin/manage_agents -r 003&lt;br /&gt;
&lt;br /&gt;
;Oder interaktiv: manage_agents starten -&amp;gt; R -&amp;gt; ID eingeben&lt;br /&gt;
*/var/ossec/bin/manage_agents&lt;br /&gt;
&lt;br /&gt;
Nach dem Entfernen den Manager neu starten, damit die Key-Datei sauber neu&lt;br /&gt;
eingelesen wird.&lt;br /&gt;
*systemctl restart wazuh-manager&lt;br /&gt;
&lt;br /&gt;
== Agent-Gruppen ==&lt;br /&gt;
;Vorhandene Gruppen anzeigen&lt;br /&gt;
*/var/ossec/bin/agent_groups -l&lt;br /&gt;
&lt;br /&gt;
;Agent einer Gruppe zuweisen&lt;br /&gt;
*/var/ossec/bin/agent_groups -a -i 003 -g linux-server&lt;br /&gt;
&lt;br /&gt;
== Wichtige Konfigurationsdateien ==&lt;br /&gt;
{| class=&amp;quot;wikitable&amp;quot;&lt;br /&gt;
! Datei !! Zweck&lt;br /&gt;
|-&lt;br /&gt;
| /var/ossec/etc/ossec.conf || Hauptkonfiguration des Managers&lt;br /&gt;
|-&lt;br /&gt;
| /var/ossec/etc/client.keys || Registrierte Agents (ID, Name, IP, Key)&lt;br /&gt;
|-&lt;br /&gt;
| /var/ossec/etc/rules/local_rules.xml || Eigene Regeln&lt;br /&gt;
|-&lt;br /&gt;
| /var/ossec/etc/decoders/local_decoder.xml || Eigene Decoder&lt;br /&gt;
|-&lt;br /&gt;
| /var/ossec/etc/shared/default/agent.conf || Zentrale Agent-Konfig (pro Gruppe)&lt;br /&gt;
|-&lt;br /&gt;
| /var/ossec/ruleset/rules/ || Mitgelieferte Regeln (NICHT editieren)&lt;br /&gt;
|-&lt;br /&gt;
| /var/ossec/ruleset/decoders/ || Mitgelieferte Decoder (NICHT editieren)&lt;br /&gt;
|}&lt;br /&gt;
&lt;br /&gt;
Eigene Anpassungen immer in die '''local_''' Dateien — die Ruleset-Verzeichnisse&lt;br /&gt;
werden bei Updates überschrieben.&lt;br /&gt;
&lt;br /&gt;
== Logs ==&lt;br /&gt;
{| class=&amp;quot;wikitable&amp;quot;&lt;br /&gt;
! Datei !! Inhalt&lt;br /&gt;
|-&lt;br /&gt;
| /var/ossec/logs/ossec.log || Manager-Hauptlog (Fehler, Start, Decoder-Probleme)&lt;br /&gt;
|-&lt;br /&gt;
| /var/ossec/logs/alerts/alerts.log || Alerts lesbar&lt;br /&gt;
|-&lt;br /&gt;
| /var/ossec/logs/alerts/alerts.json || Alerts strukturiert (für Dashboard/Index)&lt;br /&gt;
|-&lt;br /&gt;
| /var/ossec/logs/archives/archives.json || Alle Events (nur wenn logall_json aktiv)&lt;br /&gt;
|}&lt;br /&gt;
&lt;br /&gt;
;Manager-Log live mitlesen&lt;br /&gt;
*tail -f /var/ossec/logs/ossec.log&lt;br /&gt;
&lt;br /&gt;
;Alerts live mitlesen&lt;br /&gt;
*tail -f /var/ossec/logs/alerts/alerts.log&lt;br /&gt;
&lt;br /&gt;
== Regeln und Decoder testen ==&lt;br /&gt;
;Eine Logzeile durch die Decoder-/Regel-Kette jagen&lt;br /&gt;
*/var/ossec/bin/wazuh-logtest&lt;br /&gt;
&lt;br /&gt;
;Verbose (zeigt jeden geprüften Decoder-Schritt)&lt;br /&gt;
*/var/ossec/bin/wazuh-logtest -v&lt;br /&gt;
&lt;br /&gt;
== Konfiguration prüfen ==&lt;br /&gt;
;ossec.conf auf Syntaxfehler testen (ohne Neustart)&lt;br /&gt;
*/var/ossec/bin/wazuh-logtest-legacy -t&lt;br /&gt;
*/var/ossec/bin/verify-agent-conf&lt;br /&gt;
&lt;br /&gt;
== API (kurz) ==&lt;br /&gt;
;Token holen (Default-Port 55000)&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;&lt;br /&gt;
TOKEN=$(curl -s -u wazuh:wazuh -k -X POST \&lt;br /&gt;
  &amp;quot;https://localhost:55000/security/user/authenticate?raw=true&amp;quot;)&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
;Agents über die API auflisten&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;&lt;br /&gt;
curl -s -k -H &amp;quot;Authorization: Bearer $TOKEN&amp;quot; \&lt;br /&gt;
  &amp;quot;https://localhost:55000/agents?pretty=true&amp;quot;&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
[[Kategorie:WAZUH]]&lt;/div&gt;</summary>
		<author><name>Thomas.will</name></author>
	</entry>
</feed>