Anleitung für Installationen mit einem einzelnen Indexer
In dieser Anleitung führen Sie Schritt für Schritt ein Upgrade der zentralen Wazuh-Komponenten – also Indexer, Manager, Filebeat und Dashboard – von Version 4.12.0 auf 4.14.0 durch.
Diese Anleitung gilt nur für Systeme mit einem einzelnen Indexer-Knoten. Wenn Sie ein Wazuh-Cluster mit mehreren Indexern betreiben, folgen Sie bitte der offiziellen Cluster-Anleitung in der Wazuh-Dokumentation.
1. Vorbereitung
Bevor Sie beginnen, aktualisieren Sie Ihr System und stellen Sie sicher, dass die Wazuh-Repositorys eingebunden sind. So stellen Sie sicher, dass die Paketverwaltung später die aktuelle Version 4.14.0 findet.
Wir gehen davon aus, dass Sie der Empfehlung der Entwickler gefolgt sind und die Repositories nach der Installation von Wazuh deaktiviert haben. Die ersten Zeile in der Datei /etc/apt/sources.list.d/wazuh.list sollte also ein vorangestelltes #-Zeichen haben:
#deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main
Entfernen Sie das vorangestellte #-Zeichen noch nicht und aktualisieren Sie zunächst das Linux Betriebssystem mit folgendem Befehl:
sudo apt update && sudo apt upgrade -y
Sie können nun das vorangestellte #-Zeichen aus der Datei wazuh.list entfernen und den letzen Befehl in der Übersicht ausführen. Falls die Paketquelle für Wazuh noch nicht hinzugefügt wurden, dann führen Sie alle Befehle aus:
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list
sudo apt update
Exportieren Sie anschließend im Dashboard Ihre gespeicherten Objekte (Dashboards, Visualisierungen, Suchen). So können Sie Ihre Oberfläche später einfach wiederherstellen, falls etwas verloren geht.
Stoppen Sie dann alle relevanten Dienste, um ein sauberes Upgrade sicherzustellen:
sudo systemctl stop wazuh-manager
sudo systemctl stop wazuh-dashboard
sudo systemctl stop filebeat
sudo systemctl stop wazuh-indexer
2. Upgrade des Wazuh-Indexers
Da Sie nur einen Indexer betreiben, ist dieser Schritt besonders einfach. Sie sichern zunächst die Sicherheitskonfiguration und führen dann das Upgrade direkt aus.
Sichern Sie wichtige Konfigurationsdateien, zum Beispiel Ihre JVM-Optionen:
sudo cp /etc/wazuh-indexer/jvm.options /etc/wazuh-indexer/jvm.options.old
Führen Sie dann das eigentliche Upgrade durch:
sudo apt install --only-upgrade wazuh-indexer
Während der Installation werden Sie unter anderem gefragt, ob Sie die Datei „jvm.options” anpassen möchten. Wählen Sie hier „n” aus. Sollten danach Probleme auftreten, können Sie wieder zur vorher gesicherten alten Datei zurückkehren. Starten Sie anschließend den Indexer neu und prüfen den Status.
sudo systemctl daemon-reload
sudo systemctl enable wazuh-indexer
sudo systemctl start wazuh-indexer
sudo systemctl status wazuh-indexer
3. Upgrade des Wazuh-Managers
Warnung! Wenn die Konfigurationsdatei /var/ossec/etc/ossec.conf geändert wurde, wird sie beim Upgrade nicht ersetzt. Sie müssen daher die Einstellungen der neuen Funktionen manuell hinzufügen. Legen Sie nun ein Sicherheitskopie an:
sudo cp /var/ossec/etc/ossec.conf /var/ossec/etc/ossec.conf.old
Aktualisieren Sie nun den Wazuh-Manager:
sudo apt install --only-upgrade wazuh-manager
Wenn Sie ein Upgrade von Wazuh 4.12.x oder früher durchführen, befolgen Sie diese Schritte, um die neu hinzugefügten CDB-Listen zu konfigurieren. Bearbeiten Sie die Datei /var/ossec/etc/ossec.conf und aktualisieren Sie den Block <ruleset> mit den unten hervorgehobenen CDB-Listen.
<ruleset>
<!-- Default ruleset -->
<decoder_dir>ruleset/decoders</decoder_dir>
<rule_dir>ruleset/rules</rule_dir>
<rule_exclude>0215-policy_rules.xml</rule_exclude>
<list>etc/lists/audit-keys</list>
<list>etc/lists/amazon/aws-eventnames</list>
<list>etc/lists/security-eventchannel</list>
<list>etc/lists/malicious-ioc/malware-hashes</list>
<list>etc/lists/malicious-ioc/malicious-ip</list>
<list>etc/lists/malicious-ioc/malicious-domains</list>
<!-- User-defined ruleset -->
<decoder_dir>etc/decoders</decoder_dir>
<rule_dir>etc/rules</rule_dir>
</ruleset>
Starten Sie den Dienst danach neu und überprüfen Sie den Status:
sudo systemctl daemon-reload
sudo systemctl enable wazuh-manager
sudo systemctl start wazuh-manager
sudo systemctl status wazuh-manager
4. Upgrade des Filebeat-Moduls
Damit Filebeat die neuen Datenstrukturen korrekt verarbeitet, aktualisieren Sie das Wazuh-Modul und die Index-Templates.
Laden Sie das aktuelle Modul und installieren Sie es:
curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.4.tar.gz | sudo tar -xvz -C /usr/share/filebeat/module
Laden Sie die Vorlage für Benachrichtigungen herunter:
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v4.14.0/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json
Starten Sie Filebeat neu und prüfen den Status:
sudo systemctl daemon-reload
sudo systemctl enable filebeat
sudo systemctl start filebeat
sudo systemctl status filebeat
Laden Sie die neue Wazuh-Vorlage und Pipelines für Filebeat hoch:
sudo filebeat setup --pipelines
sudo filebeat setup --index-management -E output.logstash.enabled=false
5. Upgrade des Wazuh-Dashboards
Sichern Sie zunächst die Dashboard-Konfiguration:
sudo cp /etc/wazuh-dashboard/opensearch_dashboards.yml /etc/wazuh-dashboard/opensearch_dashboards.yml.old
Führen Sie dann das Upgrade durch:
sudo apt install --only-upgrade wazuh-dashboard
Starten Sie das Wazuh-Dashboard neu und prüfen SIe den Status:
systemctl daemon-reload
systemctl enable wazuh-dashboard
systemctl start wazuh-dashboard
systemctl status wazuh-dashboard
Importieren Sie im Dashboard Ihre zuvor exportierten „Saved Objects“, um Ihre Visualisierungen und Dashboards wiederherzustellen.
Prüfen SIe, ob die Datei /etc/wazuh-dashboard/opensearch_dashboards.yml folgenden Einträge enthält bzw. ob sich die erwähnten Dateien an richtiger Stelle befinden:
server.ssl.enabled: true
server.ssl.key: "/etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem"
server.ssl.certificate: "/etc/wazuh-dashboard/certs/wazuh-dashboard.pem"
opensearch.ssl.certificateAuthorities: ["/etc/wazuh-dashboard/certs/root-ca.pem"]
uiSettings.overrides.defaultRoute: /app/wz-home
opensearch_security.cookie.secure: true
6. Nacharbeiten und Kontrolle
Überprüfen Sie nach dem Upgrade, ob alle Komponenten auf Version 4.14.0 aktualisiert wurden:
Falls während Ihres Upgrades Fehler auftreten, können sie die Protokolldateien wie folgt auf Fehler oder Warnungen prüfen:
# Wazuh-Indexer
cat /var/log/wazuh-indexer/wazuh-cluster.log | grep -i -E "error|warn"
# Wazuh-Manager
cat /var/log/filebeat/filebeat | grep -i -E "error|warn"
cat /var/ossec/logs/ossec.log | grep -i -E "error|warn"
# Wazuh-Dashboard
journalctl -u wazuh-dashboard | grep -i -E "error|warn"
7. Agenten aktualisieren
Bei dieser Methode wird das Update über den Wazuh-Manager initiiert und durchgeführt. Dabei verbindet sich der Manager mit den Agenten und aktualisiert diese automatisch auf die gewünschte Version.
In diesem Beispiel werden die Agenten mit den IDs 004 und 009 aktualisiert:
/var/ossec/bin/agent_upgrade -a 004 009
Fazit
Mit dieser Anleitung führen Sie das Upgrade Ihres Wazuh-Systems (4.12 → 4.14) auf einem einzelnen Indexer-Setup sicher und nachvollziehbar durch.
Durch die klare Reihenfolge – Vorbereitung, Indexer, Manager, Filebeat, Dashboard, Kontrolle – bleibt Ihre Umgebung stabil und Ihre Konfigurationen erhalten.
Falls Sie zukünftig auf einen Cluster-Betrieb umsteigen möchten oder bereits mehrere Indexer betreiben, finden Sie die offizielle Anleitung hier.