Matzka CloudMatzka CloudPortal Login
Zurück zum Blog

Professionelles Security Monitoring

Wazuh SIEM - Professionelle Security Monitoring für Docker Infrastruktur

Wazuh SIEM: Professionelle Security Monitoring für Docker Infrastruktur

Veröffentlicht 2. Januar 2026
Kategorie Sicherheit & Monitoring
Version Wazuh 4.14.1
Lesezeit 12 Minuten

Inhaltsverzeichnis

Einführung in Wazuh SIEM

Wazuh ist eine kostenloses, Open-Source Security Information and Event Management (SIEM) System, das Sicherheitsereignisse aus verschiedenen Quellen sammelt, analysiert und korreliert. In unserer matzka.cloud Infrastruktur haben wir Wazuh 4.14.1 mit professioneller Konfiguration deployed, um kontinuierliche Überwachung aller Docker-Container und Host-Systeme zu ermöglichen.

Was ist SIEM? Security Information and Event Management (SIEM) bezieht sich auf die Sammlung, Aggregation, Analyse und Anzeige von Sicherheitsereignissen in Real-Zeit. Es hilft Unternehmen, Sicherheitsrisiken zu erkennen und zu reagieren.

Deployment Status: ✅ ERFOLGREICH

Das Wazuh SIEM System wurde am 31. Dezember 2025 erfolgreich auf ssh2.matzka.cloud in /opt/docker/security/ deployed. Alle Komponenten sind operativ und kommunizieren einwandfrei.

Status: Alle Komponenten aktiv ✅
  • Wazuh Indexer (OpenSearch): Healthy
  • Wazuh Manager: Running
  • Wazuh Dashboard: Erreichbar
  • Wazuh Exporter: Metriken verfügbar
  • Agent 001: Connected & Active

Komponenten Übersicht

Wazuh basiert auf einer verteilten Architektur mit mehreren spezialisierten Komponenten:

1. Wazuh Indexer (OpenSearch 2.18.0)

Container Name wazuh-indexer
Status Running, Healthy ✅
Cluster Health GREEN (23 aktive Shards)
Indexed Events 187+ Alerts
SSL/TLS Self-signed Zertifikate

Der Indexer basiert auf OpenSearch und speichert alle Sicherheitsereignisse. Die Daten werden in Shards verteilt und repliziert für Hochverfügbarkeit.

2. Wazuh Manager (4.14.1)

Container Name wazuh-manager
Status Running, Healthy ✅
Connected Agents 1 (server2)
API Port 55000/TCP
Agent Communication 1514/TCP

Der Manager ist das Herzstück von Wazuh. Er empfängt Daten von Agents, verarbeitet Regeln, erkennt Sicherheitsanomalien und koordiniert Aktionen.

3. Wazuh Dashboard (Webinterface)

URL https://siem.matzka.cloud
Status Running ✅
SSL/TLS Traefik + Let's Encrypt
Authentication Default Credentials (⚠️ ändern!)

Das Dashboard bietet eine grafische Oberfläche zum Monitoring von Sicherheitsereignissen, Agent-Status, Dateiintegrität und anderen Metriken.

⚠️ Wichtig: Standard-Passwörter ändern! Die Default-Credentials sollten sofort nach dem Deployment geändert werden. Standard: admin / kibanaserver

Agent Konfiguration

Der Wazuh Agent ist ein leichtes Programm, das auf dem zu überwachenden System läuft und Sicherheitsereignisse an den Manager sendet.

Agent ID: 001 - server2 (ssh2.matzka.cloud)

Agent Details:
  • Name: ssh2-matzka-cloud-host
  • Status: Active ✅
  • Version: 4.14.1
  • Installation: /var/ossec/
  • Last Connection: Live

Überwachte Ressourcen

System Logs

/var/log/auth.log       - Authentication events
/var/log/syslog       - System events
/var/log/kern.log     - Kernel messages
/var/log/fail2ban.log - Brute force attempts

Real-Time File Integrity Monitoring (FIM)

Verzeichnis Zweck
/etc Systemkonfiguration
/boot Boot-Dateien
/usr/bin, /usr/sbin Systembinärdateien
/opt/docker/compose Docker-Konfiguration

Aktive Überwachung

  • Disk Space: Verfügbarer Speicherplatz (df -P)
  • Network Connections: Netstat Statistiken
  • Last Logins: Letzte 20 Login-Versuche
  • Rootkit Detection: Automatische Rootkit-Scans
  • System Integrity: Alle 12 Stunden

Vulnerability Alerting System

Ein automatisiertes Alert-System wurde konfiguriert, das Sicherheitsereignisse und Container-Vulnerabilities überwacht und Email-Benachrichtigungen versendet.

🔴 CRITICAL Alerts (Sofortige Aktion erforderlich)

1. TrivyCriticalVulnerabilitiesDetected

Bedingung: Wenn trivy_total_critical_vulnerabilities > 0
For Duration: 15 Minuten
Aktueller Wert: 87 CRITICAL CVEs
Aktion: Immediate security review erforderlich

2. TrivyContainerExtremeRisk

Container mit >10 CRITICAL CVEs:
  • directus/directus:11.3.3 (10 CRITICAL)
  • ghcr.io/mailcow/sogo:5.12.4 (10 CRITICAL)
Aktion: Update innerhalb 24 Stunden erforderlich

🟠 WARNING Alerts (Aktion empfohlen)

3. TrivyContainerHighRisk

Container CVEs Frist
ghcr.io/goauthentik/server:2024.12 8 CRITICAL 7 Tage
ghcr.io/mailcow/postfix:3.7.11 6 CRITICAL 7 Tage
wazuh/wazuh-manager:4.14.1 5 CRITICAL 7 Tage

📊 Alert-Metriken

Überwachte Metriken:
  • 🔴 10+ Container mit CRITICAL CVEs (21 aktuell)
  • 📈 Security Score Tracking (<50% = Alert)
  • ⚠️ Neue Vulnerabilities (Delta >0 in 1h)
  • ✅ Scan Completion Status
  • 🔌 Exporter Health Check

Prometheus Integration

Wazuh exportiert Metriken via den custom Wazuh Exporter, der mit dem bestehenden Prometheus Stack integriert ist.

Exporter Configuration

Container Name wazuh-exporter
Status Running, Healthy ✅
Metrics Port 9201/TCP
Address 172.24.0.9:9201
Scrape Interval 15 Sekunden

Verfügbare Metriken

wazuh_agent_status          - Agent connection status
wazuh_indexer_health        - Cluster health (green/yellow/red)
wazuh_indexer_docs_count    - Indexed alerts count
wazuh_exporter_info         - Exporter version info
wazuh_up                    - Exporter availability

Diese Metriken werden in Grafana visualisiert und können für Custom Dashboards verwendet werden.

Zugriff & Administration

Web Access

Wazuh Dashboard: https://siem.matzka.cloud

Administrative Commands

Agent Status prüfen

ssh root@ssh2.matzka.cloud "docker exec wazuh-manager /var/ossec/bin/agent_control -l"

Indexer Cluster Health

ssh root@ssh2.matzka.cloud \
  "docker exec wazuh-manager curl -sk -u admin:SecretPassword \
   https://wazuh.indexer:9200/_cluster/health?pretty"

Wazuh Manager Logs

ssh root@ssh2.matzka.cloud "docker logs -f wazuh-manager --tail 100"

Wazuh SIEM für matzka.cloud Infrastructure
Deployment: 31. Dezember 2025
Version: 4.14.1
© 2026 Matzka.cloud - Security Monitoring