Datenbanken und Arbeitsverzeichnisse ändern sich oft im Sekundentakt. Bei Pi‑hole etwa rotiert die gravity.db regelmäßig, dazu kommen -wal‑ und -shm‑Dateien. Die Wazuh‑FIM meldet diese Änderungen fleißig – und erzeugt damit Rauschen. Ziel ist, diese Pfade zentral vom Manager aus auszunehmen oder stumm zu schalten und die Änderung nur auf die Agenten in einer bestimmten Gruppe anzuwenden. Wazuh bietet dafür eine gruppenbasierte, zentrale Konfiguration pro Datei /var/ossec/etc/shared/<GRUPPE>/agent.conf auf dem Wazuh-Manager. In diesem Beispiel gehen wir davon aus, dass der betroffenen Pi-hole-Server sich in der Gruppe „Docker“ befindet.
Schritt 1 – Gruppe „Docker“ anlegen und Agenten zuweisen
Falls du die Gruppe noch nicht angelegt hast, gehst du wie folgt vor: Die Gruppenzuordnung steuerst du am Manager mit dem Tool agent_groups. Du legst die Gruppe an, ordnest Agenten zu und kannst die Mitglieder auflisten. So entsteht die Zielmenge, auf die du die Konfiguration anwendest.
# Gruppe 'Docker' anlegen
/var/ossec/bin/agent_groups -a -g Docker -q
# Agent mit ID 004 der Gruppe 'Docker' zuweisen
/var/ossec/bin/agent_groups -a -i 004 -g Docker -q
# Mitglieder der Gruppe prüfen
/var/ossec/bin/agent_groups -l -g Docker
Schritt 2 – Zentrale Syscheck‑Ausnahmen in der Gruppen‑agent.confdefinieren
Für jede Gruppe existiert am Manager eine eigene agent.conf. Inhalte darin überschreiben die lokale Agent‑Konfiguration, aber nur für Agenten dieser Gruppe. Wir hinterlegen jetzt Ausnahmen für Pi‑hole‑Dateien.
# Datei für die Gruppe 'Docker' bearbeiten
sudo nano /var/ossec/etc/shared/Docker/agent.conf
Trage innerhalb eines <agent_config>‑Blocks die Syscheck‑Sektion mit Ignore‑Einträgen ein. Das Attribut type="sregex" erlaubt einfache reguläre Ausdrücke. Ignorierte Dateien werden weiterhin gescannt, aber Ergebnisse nicht gemeldet
<agent_config>
<syscheck>
<!-- Pi-hole: Gravity-DB und temporäre SQLite-Artefakte ausblenden -->
<ignore>/etc/pihole/gravity.db</ignore>
<ignore type="sregex">^/etc/pihole/.*\.(db|db-wal|db-shm|tmp)$</ignore>
</syscheck>
</agent_config>
Schritt 3 – Konfiguration prüfen und an die Gruppe verteilen
Bevor du verteilst, prüfst du die Datei mit verify-agent-conf. Danach stellt der Manager die geänderte agent.confbereit. Jeder Agent gleicht beim Keepalive seine Konfiguration ab; bei Abweichung zieht er die neue Datei. Die neue Konfiguration greift, nachdem der Agent neu gestartet wurde. Ein Neustart des Managers beschleunigt die Bereitstellung.
# Syntax- und Konsistenzcheck: sehr wichtig!
/var/ossec/bin/verify-agent-conf
# optional: Manager neu starten, um die Datei schneller bereitzustellen
sudo systemctl restart wazuh-manager
Schritt 4 – Nur die „Docker“‑Agenten neu starten
Damit die zentrale Konfiguration aktiv wird, startest du die betroffenen Agenten neu. agent_control kann Agenten remote neu starten. In Kombination mit agent_groups lässt du das nur für die Gruppe „Docker“ laufen.
# Alle Agenten-IDs der Gruppe 'Docker' neu starten
/var/ossec/bin/agent_groups -l -g Docker \
| awk '/ID:/ {print $2}' | tr -d ':' \
| xargs -I{} /var/ossec/bin/agent_control -R -u {}
Falls es einmal nicht so granular sein muss, kannst du auch alle Agenten auf einmal neu starten.
/var/ossec/bin/agent_control -R -a
Schritt 5 – Alternative: Änderungen weiter prüfen, aber Meldungen stummschalten (alternativ)
Wenn du die Dateien weiterhin prüfen möchtest, aber keine Alerts im Dashboard sehen willst, erreichst du das mit einer lokalen Regel am Manager. Du setzt den Level für passende Syscheck‑Ereignisse auf 0. local_rules.xml ist der richtige Ort; Wazuh empfiehlt für eigene Regeln die ID‑Range ab 100000. Level 0 bewirkt, dass das Event nicht angezeigt wird.
<!-- /var/ossec/etc/rules/local_rules.xml -->
<group name="local,">
<rule id="100100" level="0">
<if_group>syscheck</if_group>
<match>/etc/pihole/</match>
<description>Suppress Syscheck alerts for Pi-hole working dir</description>
</rule>
</group>
Schritt 6 – Ergebnis prüfen
Nach dem Neustart der „Docker“‑Agenten siehst du im Dashboard für diese Gruppe keine Syscheck‑Alerts mehr zu den ausgenommenen Dateien, während alle anderen Pfade unverändert überwacht werden. Die zentrale Konfiguration sorgt dafür, dass nur die zugewiesenen Agenten betroffen sind; alle anderen Gruppen behalten ihre bisherigen Einstellungen.