Zuletzt aktualisiert: 02.07.2026 · Lesezeit: 3-4 Minuten
Wazuh ist eine Open Source Sicherheitsplattform, die Log-Management, Intrusion Detection, Schwachstellenbewertung und Compliance-Überwachung unter einem Dach vereint. Bei NETWAYS werden wir zunehmend darauf angesprochen und unsere Kunden möchten zunächst einen Überblick und eine Einordnung zu Wazuh erhalten. Leander, Consultant aus dem Professional-Services Team, gibt daher einen ersten Überblick: Was steckt hinter Wazuh, wie ist es aufgebaut und für wen lohnt sich der Einstieg?
Warum überhaupt Wazuh?
Ich gehe davon aus, dass den meisten der Begriff „Log-Management” geläufig ist. Dabei werden die Logs vieler verschiedener Systeme an einem zentralen Ort gesammelt. In der Regel geschieht dies, um Logs langfristig aufzubewahren. Das ist hilfreich bei der Analyse und Korrelation der Daten. Doch was ist zu tun, wenn eine sicherheitsorientierte Betrachtung dieser Logs gewünscht ist?
Hier kommt Wazuh mit seinen SIEM- (Security Information and Event Management) und XDR- (Extended Detection and Response) Fähigkeiten ins Spiel: also das Sammeln, Analysieren und Bewerten sicherheitsrelevanter Daten aus unterschiedlichsten Quellen, um Risiken sichtbar zu machen. Ohne eine zentrale Übersicht über sicherheitsrelevante Ereignisse ist es schwierig, Anomalien frühzeitig zu erkennen und Compliance-Vorgaben zu erfüllen.
Was ist Wazuh im Kern?
Wazuh ist eine Log-Management‑Anwendung und Sicherheitsplattform, die Sicherheitsdaten aus verschiedensten Quellen zentral erfasst, korreliert und auswertet. Wazuh arbeitet auf der Ebene der Security Events – also Logdaten, Dateisystemänderungen, Prozessaktivitäten und Systemkonfigurationen.
Die Plattform hilft Administratoren und Security-Teams, Angriffsversuche und Fehlkonfigurationen schneller zu erkennen und besser zu verstehen. Durch die Kombination aus regelbasierter Erkennung, integritätsbasiertem Monitoring und zentralem Reporting entsteht ein umfassendes Bild der Sicherheitslage.
In der Praxis ist Wazuh damit ein Werkzeug, das Log-Management, Intrusion Detection, Schwachstellenbewertung und Compliance-Überwachung unter einem Dach vereint.
Die vier Hauptkomponenten
Wazuh besteht aus vier Hauptkomponenten. Das wirkt auf den ersten Blick vielleicht ein bisschen überwältigend, aber hinter den Komponenten stecken bekannte Anwendungen, die viele bereits kennen dürften.
- Wazuh Manager: Dies ist das zentrale Element von Wazuh, das Sicherheitsereignisse sammelt, analysiert und verwaltet. Es führt die Log-Analyse durch, verwaltet Agenten und speichert Sicherheitsinformationen im Wazuh Indexer. Der Wazuh Manager ist historisch aus OSSEC hervorgegangen.
- Wazuh Indexer: Diese Komponente ist verantwortlich für die Speicherung und Verwaltung von Logs, welche vom Wazuh Manager eingehen. Es handelt sich hierbei um ein von Wazuh paketiertes OpenSearch, das die üblichen Vorteile bietet, wie flexible Skalierung und schnelle Datenabfrage.
- Wazuh Dashboard: Die grafische Oberfläche zur Interaktion mit Wazuh. Hier werden Alarme, Dashboards und Auswertungen angezeigt. Das Dashboard basiert auf OpenSearch Dashboards.
- Wazuh Agent: Diese leichtgewichtige Software wird auf den zu überwachenden Endpunkten installiert. Sie sammelt Log-Daten, überwacht Dateisysteme, führt Integritätsüberprüfungen durch und überwacht Prozesse. Die Agenten kommunizieren mit dem Wazuh Manager, um relevante Daten zu senden, und stammen ebenfalls aus dem OSSEC-Umfeld.
Vereinfacht gesagt: Der Agent sammelt Daten auf den Systemen, der Manager bewertet sie, der Indexer speichert sie performant, und im Dashboard werden sie für Menschen sinnvoll darstellbar gemacht.
Wazuh in deiner Umgebung einsetzen?
Wir unterstützen beim Aufbau, der Konfiguration und dem laufenden Betrieb von Wazuh!
Consulting anfragen →
Welche Daten werden verarbeitet?
Wazuh aggregiert eine Vielzahl von Datenquellen, darunter:
- System- und Anwendungslogs: klassisch aus /var/log, dem Windows Event Viewer oder Applikationslogdateien.
- Datei-Integritätsmonitoring (FIM): Änderungen an sensiblen Systemdateien, Konfigurationen oder Skripten werden protokolliert.
- Netzwerkgeräte und Appliances: senden per Syslog ihre Events an Wazuh und werden dort ausgewertet.
- Vulnerability Detection: über Schwachstellenfeeds erkennt Wazuh, ob Systeme bekannte Sicherheitslücken aufweisen.
- Compliance Monitoring: Überprüfungen gegen Richtlinien wie PCI‑DSS, ISO 27001 oder CIS Benchmarks lassen sich automatisiert durchführen.
Diese breite Datengrundlage ermöglicht einen ganzheitlichen Blick auf die Sicherheitslage – von der Anwendungs‑ bis zur Systemebene – und macht den Unterschied zu reinem Log-Management aus.
Warum Wazuh aktuell so viel Aufmerksamkeit bekommt
Mehr denn je verlangen Unternehmen nach zentralen Sicherheitslösungen, die bezahlbar, flexibel und umfangreich sind. Gründe sind hierfür meist Compliance, Zertifizierungen oder Sicherheitsrichtlinien. Wazuh versucht diesen Anforderung gerecht zu werden, indem es vordefinierte Regeln, Dashboards und Compliance-Checks mitbringt und das ganz ohne Lizenzkosten.
Dabei versucht Wazuh, den Einstieg möglichst niedrigschwellig zu halten: Von der reinen Log-Sammlung über Intrusion Detection bis hin zu umfangreicheren SIEM-/XDR-Szenarien kann die Plattform schrittweise ausgebaut werden, je nachdem, wie weit die eigene Sicherheitsstrategie ist.
Wazuh ist besonders geeignet für Organisationen,
- die eine SIEM Lösung möchten, ohne direkt hohe Lizenzkosten für proprietäre Produkte einplanen zu müssen.
- die eine Lösung brauchen, die schon viel „out of the box“ bietet – etwa vordefinierte Regeln, Dashboards und Compliance-Checks.
- die aufgrund von Richtlinien, Zertifizierungen und ähnlichen Vorgaben ein nachvollziehbares Auditing von Systemen und Events benötigen.
- die mehr Sicherheitseinblick in ihre Umgebung gewinnen wollen.
