<?xml version="1.0"?>
<feed xmlns="http://www.w3.org/2005/Atom" xml:lang="de">
	<id>https://wiki.ixheim.de/index.php?action=history&amp;feed=atom&amp;title=Wazuh_Menu_Struktur</id>
	<title>Wazuh Menu Struktur - Versionsgeschichte</title>
	<link rel="self" type="application/atom+xml" href="https://wiki.ixheim.de/index.php?action=history&amp;feed=atom&amp;title=Wazuh_Menu_Struktur"/>
	<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Wazuh_Menu_Struktur&amp;action=history"/>
	<updated>2026-07-06T05:56:49Z</updated>
	<subtitle>Versionsgeschichte dieser Seite in Xinux Wiki</subtitle>
	<generator>MediaWiki 1.35.1</generator>
	<entry>
		<id>https://wiki.ixheim.de/index.php?title=Wazuh_Menu_Struktur&amp;diff=71505&amp;oldid=prev</id>
		<title>Thomas.will: Die Seite wurde neu angelegt: „= Wazuh Dashboard – Rundgang für das Lab =  Das Wazuh-Dashboard basiert auf OpenSearch Dashboards. Wer von der Konsole kommt, findet die Daten oft nicht, we…“</title>
		<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Wazuh_Menu_Struktur&amp;diff=71505&amp;oldid=prev"/>
		<updated>2026-06-28T06:20:24Z</updated>

		<summary type="html">&lt;p&gt;Die Seite wurde neu angelegt: „= Wazuh Dashboard – Rundgang für das Lab =  Das Wazuh-Dashboard basiert auf OpenSearch Dashboards. Wer von der Konsole kommt, findet die Daten oft nicht, we…“&lt;/p&gt;
&lt;p&gt;&lt;b&gt;Neue Seite&lt;/b&gt;&lt;/p&gt;&lt;div&gt;= Wazuh Dashboard – Rundgang für das Lab =&lt;br /&gt;
&lt;br /&gt;
Das Wazuh-Dashboard basiert auf OpenSearch Dashboards. Wer von der Konsole kommt,&lt;br /&gt;
findet die Daten oft nicht, weil mehrere unsichtbare Voreinstellungen (Zeitraum,&lt;br /&gt;
Index, Filter) die Anzeige einschränken. Dieser Artikel geht nur die lab-relevanten&lt;br /&gt;
Menüpunkte durch — der Rest (Cloud security, PCI/GDPR/HIPAA, Explore-Detailpunkte)&lt;br /&gt;
kommt im SOC-Lab nicht vor.&lt;br /&gt;
&lt;br /&gt;
Das Menü öffnet sich links über das '''Hamburger-Icon''' (☰) oben.&lt;br /&gt;
&lt;br /&gt;
== Discover – das Herzstück ==&lt;br /&gt;
'''Discover''' ist die Roh-Ansicht aller Events. Hier landet jeder Alert, den dein&lt;br /&gt;
Decoder/deine Regel erzeugt. Mental: es ist die GUI-Version von&lt;br /&gt;
&amp;lt;code&amp;gt;tail -f alerts.json | grep ...&amp;lt;/code&amp;gt; — aber mit vier Stellschrauben, die du&lt;br /&gt;
kennen musst, sonst siehst du „No results&amp;quot;.&lt;br /&gt;
&lt;br /&gt;
=== Die vier Stolpersteine zuerst ===&lt;br /&gt;
&lt;br /&gt;
;1. Zeitraum (häufigste Ursache für &amp;quot;nichts da&amp;quot;)&lt;br /&gt;
Oben '''rechts''' sitzt der '''Zeit-Picker''' (Uhr-Symbol, meist &amp;quot;Last 24 hours&amp;quot;).&lt;br /&gt;
Discover zeigt NUR Events aus diesem Fenster. Auf der Konsole gibt es so etwas&lt;br /&gt;
nicht — grep kennt keine Zeit. Nach einem Test also immer prüfen:&lt;br /&gt;
* Klick auf den Zeit-Picker → '''Last 15 minutes''' wählen, wenn du gerade eine Testmail geschickt hast&lt;br /&gt;
* Oder '''Today''' für den ganzen Tag&lt;br /&gt;
* Rechts daneben der '''Refresh'''-Button (↻) — Daten hinken der Einlieferung ein paar Sekunden hinterher&lt;br /&gt;
&lt;br /&gt;
;2. Index-Pattern&lt;br /&gt;
Oben '''links''' ein Dropdown — muss auf '''wazuh-alerts-*''' stehen. Steht dort&lt;br /&gt;
etwas anderes, durchsuchst du den falschen Index und siehst keine Alerts.&lt;br /&gt;
&lt;br /&gt;
;3. Aktive Filter&lt;br /&gt;
Unter der Suchleiste sitzen '''Filter-Pillen'''. Ein vergessener Filter von vorhin&lt;br /&gt;
blendet alles andere aus. Pillen prüfen und ggf. per &amp;quot;x&amp;quot; entfernen.&lt;br /&gt;
&lt;br /&gt;
;4. Spalten&lt;br /&gt;
Die Tabelle zeigt anfangs nur '''Time''' und eine Roh-Zeile. Aussagekräftige&lt;br /&gt;
Spalten musst du selbst hinzufügen (siehe unten) — das ist kein Bug.&lt;br /&gt;
&lt;br /&gt;
=== Suchen: DQL ist kein grep ===&lt;br /&gt;
Die '''Suchleiste''' oben nutzt DQL (Dashboards Query Language). Wichtig für&lt;br /&gt;
Konsolen-Leute: das ist '''keine''' Regex und kein grep. Das Grundmuster ist&lt;br /&gt;
&amp;lt;code&amp;gt;feld:wert&amp;lt;/code&amp;gt;.&lt;br /&gt;
&lt;br /&gt;
{| class=&amp;quot;wikitable&amp;quot;&lt;br /&gt;
! Query !! Findet&lt;br /&gt;
|-&lt;br /&gt;
| &amp;lt;code&amp;gt;rule.id:100200&amp;lt;/code&amp;gt; || Genau deine EICAR/ClamAV-Regel&lt;br /&gt;
|-&lt;br /&gt;
| &amp;lt;code&amp;gt;rule.level &amp;gt;= 10&amp;lt;/code&amp;gt; || Alles ab Level 10 (Hochkritisches)&lt;br /&gt;
|-&lt;br /&gt;
| &amp;lt;code&amp;gt;agent.name:mail&amp;lt;/code&amp;gt; || Nur Events vom Mailserver-Agent&lt;br /&gt;
|-&lt;br /&gt;
| &amp;lt;code&amp;gt;rule.groups:malware&amp;lt;/code&amp;gt; || Alle Malware-Events&lt;br /&gt;
|-&lt;br /&gt;
| &amp;lt;code&amp;gt;rule.groups:syscheck&amp;lt;/code&amp;gt; || Alle FIM-Events (File Integrity Monitoring)&lt;br /&gt;
|-&lt;br /&gt;
| &amp;lt;code&amp;gt;data.virus_name:*&amp;lt;/code&amp;gt; || Alle Events, bei denen das Feld virus_name gesetzt ist&lt;br /&gt;
|-&lt;br /&gt;
| &amp;lt;code&amp;gt;location:&amp;quot;/var/log/rspamd/rspamd.log&amp;quot;&amp;lt;/code&amp;gt; || Alles aus dem Rspamd-Log&lt;br /&gt;
|-&lt;br /&gt;
| &amp;lt;code&amp;gt;agent.name:mail and rule.level &amp;gt;= 7&amp;lt;/code&amp;gt; || Verknüpfung mit and / or / not&lt;br /&gt;
|}&lt;br /&gt;
&lt;br /&gt;
;Merkregeln zur Syntax&lt;br /&gt;
* '''Doppelpunkt''' trennt Feld und Wert: &amp;lt;code&amp;gt;rule.id:100200&amp;lt;/code&amp;gt;&lt;br /&gt;
* '''Wildcard''' ist &amp;lt;code&amp;gt;*&amp;lt;/code&amp;gt;: &amp;lt;code&amp;gt;rule.description:*Virus*&amp;lt;/code&amp;gt;&lt;br /&gt;
* '''Werte mit Leerzeichen''' in Anführungszeichen: &amp;lt;code&amp;gt;rule.description:&amp;quot;Virus in E-Mail&amp;quot;&amp;lt;/code&amp;gt;&lt;br /&gt;
* '''Verknüpfen''' mit &amp;lt;code&amp;gt;and&amp;lt;/code&amp;gt; / &amp;lt;code&amp;gt;or&amp;lt;/code&amp;gt; / &amp;lt;code&amp;gt;not&amp;lt;/code&amp;gt; (klein)&lt;br /&gt;
* '''Bereiche''' mit Leerzeichen: &amp;lt;code&amp;gt;rule.level &amp;gt;= 10&amp;lt;/code&amp;gt;&lt;br /&gt;
* Nur ein Wort ohne Doppelpunkt = Freitextsuche über alle Felder&lt;br /&gt;
&lt;br /&gt;
=== Filter per Klick statt Tippen ===&lt;br /&gt;
Wenn dir die Syntax lästig ist: unter der Suchleiste '''+ Add filter'''. Dann&lt;br /&gt;
per Dropdown:&lt;br /&gt;
* '''Field''' auswählen (z. B. rule.level)&lt;br /&gt;
* '''Operator''' (is, is not, exists, is one of, is between)&lt;br /&gt;
* '''Value''' eintippen&lt;br /&gt;
* '''Save'''&lt;br /&gt;
&lt;br /&gt;
Das ist der GUI-Weg ganz ohne Query-Sprache — für den Einstieg oft schneller.&lt;br /&gt;
Filter lassen sich '''anpinnen''' (Pin-Symbol), dann bleiben sie über andere&lt;br /&gt;
Ansichten hinweg aktiv.&lt;br /&gt;
&lt;br /&gt;
=== Spalten setzen ===&lt;br /&gt;
Links die Liste '''Available fields'''. Mit der Maus über ein Feld fahren →&lt;br /&gt;
'''+''' erscheint → als Spalte hinzufügen. Sinnvoll für deine POCs:&lt;br /&gt;
* '''agent.name''' – welcher Host&lt;br /&gt;
* '''rule.level''' – Schweregrad&lt;br /&gt;
* '''rule.description''' – Klartext&lt;br /&gt;
* '''data.virus_name''' – bei Mail-Malware der Signaturname&lt;br /&gt;
&lt;br /&gt;
Klick auf den '''Spaltenkopf''' sortiert.&lt;br /&gt;
&lt;br /&gt;
=== Ein Event aufklappen – der Brücke-zur-Konsole-Trick ===&lt;br /&gt;
Links vor jeder Zeile ein '''&amp;gt;''' (Pfeil). Klick → das Event klappt auf, Reiter&lt;br /&gt;
'''Table''' und '''JSON'''. Hier siehst du JEDES decodierte Feld mit seinem&lt;br /&gt;
exakten Pfad — also genau die Feldnamen, die du in der nächsten Query brauchst.&lt;br /&gt;
&lt;br /&gt;
Das ist der schnellste Weg vom „ich sehe den Alert&amp;quot; zum „ich kann gezielt danach&lt;br /&gt;
filtern&amp;quot;: Event aufklappen, Feldname ablesen (z. B. &amp;lt;code&amp;gt;data.virus_name&amp;lt;/code&amp;gt;),&lt;br /&gt;
oben als Query eintippen.&lt;br /&gt;
&lt;br /&gt;
;Wichtig zu wissen&lt;br /&gt;
Alles, was dein Decoder per &amp;lt;code&amp;gt;&amp;lt;order&amp;gt;&amp;lt;/code&amp;gt; rausschreibt, landet unter&lt;br /&gt;
'''data.*'''. Dein Feld &amp;lt;code&amp;gt;virus_name&amp;lt;/code&amp;gt; heißt im Dashboard also&lt;br /&gt;
&amp;lt;code&amp;gt;data.virus_name&amp;lt;/code&amp;gt;. Das erklärt, warum eigene Felder nicht „nackt&amp;quot;&lt;br /&gt;
auffindbar sind.&lt;br /&gt;
&lt;br /&gt;
=== Histogramm und Speichern ===&lt;br /&gt;
* Das '''Balkendiagramm''' über der Tabelle zeigt Events pro Zeit. Mit der Maus einen Bereich '''aufziehen''' zoomt den Zeitraum.&lt;br /&gt;
* Oben '''Save''' speichert die Suche samt Query, Spalten und Filtern unter einem Namen — wiederverwendbar und Basis für Visualisierungen.&lt;br /&gt;
&lt;br /&gt;
== Endpoint security ==&lt;br /&gt;
=== Malware Detection ===&lt;br /&gt;
Aufbereitete Ansicht für Malware-Events — hier taucht dein '''EICAR/ClamAV-Fund'''&lt;br /&gt;
(Rule 100200, CLAM_VIRUS) auf, ohne dass du in Discover filtern musst. Gut für die&lt;br /&gt;
POC-Demo. Im Hintergrund dieselben Daten wie in Discover, nur vorgefiltert.&lt;br /&gt;
&lt;br /&gt;
=== File Integrity Monitoring ===&lt;br /&gt;
GUI zu deinem '''FIM-POC''' (Upload-Verzeichnis, Rule 554). Zeigt pro Agent, welche&lt;br /&gt;
Dateien angelegt/geändert/gelöscht wurden — mit Vorher/Nachher-Hash. Discover-Pendant:&lt;br /&gt;
&amp;lt;code&amp;gt;rule.groups:syscheck&amp;lt;/code&amp;gt;.&lt;br /&gt;
&lt;br /&gt;
== Threat intelligence ==&lt;br /&gt;
=== Vulnerability Detection ===&lt;br /&gt;
Listet erkannte CVEs pro Agent (dein Vuln-POC). Die Detail-Felder liegen unter&lt;br /&gt;
'''data.vulnerability.*'''. Eigene Ansicht, weil das Datenmodell anders ist als&lt;br /&gt;
bei normalen Regel-Alerts.&lt;br /&gt;
&lt;br /&gt;
=== MITRE ATT&amp;amp;CK ===&lt;br /&gt;
Mappt Alerts auf Taktiken/Techniken. Deine Demos tauchen hier auf, sobald die&lt;br /&gt;
Regeln ein &amp;lt;code&amp;gt;mitre&amp;lt;/code&amp;gt;-Tag haben:&lt;br /&gt;
* '''T1110''' Brute Force – dein Hydra/SSH-Demo&lt;br /&gt;
* '''T1190''' Exploit Public-Facing Application – SQLi gegen die VulnSite/WAF&lt;br /&gt;
Filter in Discover: &amp;lt;code&amp;gt;rule.mitre.id:T1110&amp;lt;/code&amp;gt;.&lt;br /&gt;
&lt;br /&gt;
== Server management ==&lt;br /&gt;
Das ist der GUI-Zugang zu allem, was du sonst per Konsole in&lt;br /&gt;
&amp;lt;code&amp;gt;/var/ossec/etc/&amp;lt;/code&amp;gt; machst.&lt;br /&gt;
&lt;br /&gt;
{| class=&amp;quot;wikitable&amp;quot;&lt;br /&gt;
! Punkt !! Zweck !! Konsolen-Pendant&lt;br /&gt;
|-&lt;br /&gt;
| '''Rules''' || Alle Regeln durchsuchen, deine eigenen wiederfinden || local_rules.xml&lt;br /&gt;
|-&lt;br /&gt;
| '''Decoders''' || Decoder einsehen || local_decoder.xml&lt;br /&gt;
|-&lt;br /&gt;
| '''Dev Tools''' || API-Queries direkt absetzen || curl gegen Port 55000&lt;br /&gt;
|-&lt;br /&gt;
| '''Ruleset Test''' || Logzeile gegen Decoder/Regeln testen || wazuh-logtest&lt;br /&gt;
|-&lt;br /&gt;
| '''Logs''' || Manager-Log im Browser || /var/ossec/logs/ossec.log&lt;br /&gt;
|-&lt;br /&gt;
| '''Status''' || Daemon-Status || wazuh-control status&lt;br /&gt;
|}&lt;br /&gt;
&lt;br /&gt;
;Tipp&lt;br /&gt;
'''Ruleset Test''' ist im GUI exakt dein &amp;lt;code&amp;gt;wazuh-logtest&amp;lt;/code&amp;gt;: Logzeile&lt;br /&gt;
einfügen, sehen welcher Decoder greift und welche Regel mit welchem Level feuert.&lt;br /&gt;
Ideal, wenn du eine eigene Regel baust und dem Teilnehmer am Beamer zeigen willst,&lt;br /&gt;
was passiert.&lt;br /&gt;
&lt;br /&gt;
== Agents management ==&lt;br /&gt;
=== Summary ===&lt;br /&gt;
Der GUI-Blick auf deinen &amp;lt;code&amp;gt;agent_control -l&amp;lt;/code&amp;gt;: welche Agents sind&lt;br /&gt;
registriert, welche '''active''' / '''disconnected''', wann zuletzt gesehen, welche&lt;br /&gt;
Version. Schneller Gesundheits-Check der Flotte.&lt;br /&gt;
&lt;br /&gt;
=== Groups ===&lt;br /&gt;
Agent-Gruppen und die zentrale &amp;lt;code&amp;gt;agent.conf&amp;lt;/code&amp;gt; pro Gruppe.&lt;br /&gt;
&lt;br /&gt;
== Im Lab nicht relevant ==&lt;br /&gt;
Der Vollständigkeit halber, ohne eigene Behandlung: '''Cloud security'''&lt;br /&gt;
(Docker, AWS, GCP, GitHub, O365, MS Graph), die Compliance-Mappings unter Security&lt;br /&gt;
operations ('''PCI DSS, GDPR, HIPAA, NIST 800-53, TSC'''), sowie die generischen&lt;br /&gt;
'''Explore'''-Punkte (Visualize, Reporting, Maps, Notifications). Das sind&lt;br /&gt;
OpenSearch-Bordmittel bzw. Cloud-Themen außerhalb dieses Kurses.&lt;br /&gt;
&lt;br /&gt;
[[Kategorie:WAZUH]]&lt;/div&gt;</summary>
		<author><name>Thomas.will</name></author>
	</entry>
</feed>