Zum Hauptinhalt springen
S-EDV news
← Alle Anleitungen
📘 Anleitung Monitoring 06.07.2026 · 5 min Lesezeit

Wazuh 4.14 SIEM auf Ubuntu 24.04 installieren: Schritt-für-Schritt-Anleitung

Wazuh 4.14 ist ein kostenloses Open-Source-SIEM mit XDR-Funktion. Diese Anleitung installiert Wazuh als Single-Node-Setup auf Ubuntu 24.04 LTS, genug für KMU mit bis zu 100 Endpunkten, inklusive erstem Linux- und Windows-Agent.

Wazuh 4.14 SIEM auf Ubuntu 24.04 installieren. Moderne Sicherheitsplattform mit Servern, Linux Terminal, Wazuh Dashboard sowie Symbolen für Bedrohungserkennung, Log Analyse, Compliance Überwachung und Echtzeit Alerts als Schritt für Schritt Anleitung.

Wazuh ist ein kostenloses Open-Source-SIEM (Security Information and Event Management) mit XDR-Funktion. Es sammelt Log- und Telemetriedaten von Linux-, Windows- und macOS-Endpunkten, führt Dateiintegritätsüberwachung (FIM), Schwachstellenerkennung (Vulnerability Detection) und aktive Reaktion (Active Response) durch. Diese Anleitung installiert Wazuh als Single-Node-All-in-One-Setup auf Ubuntu 24.04 LTS, genug für KMU-Umgebungen mit bis zu 100 Endpunkten. Die Anleitung basiert auf Wazuh 4.14.6, veröffentlicht am 01.07.2026.

Diese Anleitung richtet sich an IT-Administratoren und IT-Verantwortliche in kleinen und mittleren Unternehmen, die ein eigenes SIEM aufbauen möchten – etwa für NIS2-Anforderungen, internes Monitoring oder als Ergänzung zu einem Managed-Security-Service. Wer bereits ein anderes SIEM betreibt oder einen Managed-Security-Vertrag hat, braucht Wazuh typischerweise nicht zusätzlich.

Voraussetzungen

Hardware (Single-Node für 50 bis 100 Endpunkte):

  1. CPU: 4 vCPUs (8 empfohlen für 100 Endpunkte)
  2. RAM: 8 GB Minimum, 16 GB empfohlen
  3. Festplatte: 50 GB Minimum (SSD empfohlen), Wachstum etwa 10 bis 20 GB pro Monat bei 50 Endpunkten
  4. Netzwerk: 1 Gbit/s, statische IPv4-Adresse

Software:

  1. Ubuntu Server 24.04 LTS (64-Bit), frisch installiert
  2. Root-Zugriff oder sudo-Berechtigung
  3. Funktionierender Internetzugang
  4. DNS-Auflösung in beide Richtungen

Netzwerk-Ports (in Firewall öffnen):

  1. 1514/TCP: Agent-zu-Manager-Kommunikation (verschlüsselt)
  2. 1515/TCP: Agent-Enrollment
  3. 514/UDP und 514/TCP: Syslog-Eingang (optional)
  4. 9200/TCP: Wazuh-Indexer (intern, nicht extern freigeben)
  5. 443/TCP: Wazuh-Dashboard (Web-UI, https)

Zeitaufwand: 45 bis 60 Minuten für die Erstinstallation, dann 10 Minuten pro Endpunkt für Agent-Rollout.

Schritt 1: Ubuntu vorbereiten

System aktualisieren:

sudo apt update && sudo apt upgrade -y

Notwendige Pakete installieren:

sudo apt install -y curl apt-transport-https lsb-release gnupg2 software-properties-common

Statische IP-Adresse setzen, falls nicht per DHCP-Reservierung erledigt. Netplan-Konfiguration in /etc/netplan/01-netcfg.yaml:

network:
  version: 2
  renderer: networkd
  ethernets:
    ens18:
      addresses:
        - 192.168.1.50/24
      routes:
        - to: default
          via: 192.168.1.1
      nameservers:
        addresses: [192.168.1.10, 1.1.1.1]

Anwenden mit sudo netplan apply.

Hostname setzen:

sudo hostnamectl set-hostname wazuh.s-edv.lan
echo "127.0.1.1 wazuh.s-edv.lan wazuh" | sudo tee -a /etc/hosts

Schritt 2: Wazuh-Installer herunterladen und ausführen

Aktuellen Wazuh-Installer holen:

curl -sO https://packages.wazuh.com/4.14/wazuh-install.sh
chmod +x wazuh-install.sh

Installation im All-in-One-Modus starten. Der Schalter -a aktiviert Manager, Indexer und Dashboard auf einem Host. -i ignoriert Hardware-Mindestanforderungen, falls die VM knapp dimensioniert ist.

sudo ./wazuh-install.sh -a -i

Während der Installation (Dauer 20 bis 30 Minuten) werden Wazuh-Pakete aus dem offiziellen Repo geladen, der OpenSearch-Indexer konfiguriert, SSL-Zertifikate zwischen Manager, Indexer und Dashboard selbstsigniert generiert, Filebeat installiert, und das Wazuh-Dashboard unter https://<IP>:443 bereitgestellt.

Am Ende der Installation wird das Dashboard-Passwort angezeigt. Notieren:

INFO: The Wazuh dashboard password is: xR3pT2vM9qLb8cF1

Bei Verlust zurücksetzen mit sudo /usr/share/wazuh-dashboard/bin/opensearch-dashboards-reset-password.

Schritt 3: Erste Anmeldung am Dashboard

Browser öffnen: https://192.168.1.50:443. Zertifikatswarnung akzeptieren (selbstsigniert). Anmelden mit admin und dem notierten Passwort. Sprache auf Deutsch umstellen (Profil-Icon > Preferences > Language > Deutsch) und Standard-Passwort ändern.

Schritt 4: Linux-Agent auf einem Endpunkt installieren

Auf dem Wazuh-Manager ein Enrollment-Passwort setzen:

sudo /var/ossec/bin/manage_agents -a e

Auf dem Linux-Endpunkt (mit root-Zugriff):

curl -sO https://packages.wazuh.com/4.14/wazuh-agent-install.sh
sudo bash ./wazuh-agent-install.sh -a -o WAZUH_MANAGER_IP="192.168.1.50" -o SERVER_IP="192.168.1.50"

Status prüfen:

sudo systemctl status wazuh-agent

Sollte active (running) zeigen. Logs: sudo tail -f /var/ossec/logs/ossec.log. Im Dashboard unter Server management > Endpoint summary erscheint der neue Agent mit Status „Active" nach 30 bis 60 Sekunden.

Schritt 5: Windows-Agent auf einem Endpunkt installieren

Auf dem Wazuh-Manager Enrollment-Token generieren:

sudo /var/ossec/bin/manage_agents -a e

Auf dem Windows-Endpunkt in PowerShell als Administrator:

Invoke-WebRequest -Uri "https://packages.wazuh.com/4.14/windows/wazuh-agent-4.14.6-1.msi" -OutFile "$env:TEMP\wazuh-agent.msi"
msiexec /i $env:TEMP\wazuh-agent.msi /q WAZUH_MANAGER="192.168.1.50"
net start wazuh

Firewall-Ausnahme manuell setzen, falls blockiert:

New-NetFirewallRule -DisplayName "Wazuh Agent" -Direction Outbound -RemotePort 1514 -RemoteAddress 192.168.1.50 -Protocol TCP -Action Allow

Status prüfen: Windows-Dienste > „Wazuh" muss „Wird ausgeführt" zeigen. Im Dashboard erscheint der Agent nach maximal 2 Minuten.

Schritt 6: Dateiintegritätsüberwachung aktivieren

Auf dem Linux-Agent /var/ossec/etc/ossec.conf bearbeiten. Im Block <syscheck> ergänzen:

<syscheck>
  <disabled>no</disabled>
  <directories check_all="yes" realtime="yes">/etc,/usr/bin,/usr/sbin</directories>
  <directories check_all="yes" realtime="yes" report_changes="yes">/var/ossec/etc</directories>
  <directories check_all="yes" realtime="yes">/var/www</directories>
</syscheck>

Agent-Konfiguration neu laden:

sudo systemctl restart wazuh-agent

FIM-Alerts anzeigen: Endpoint security > File integrity monitoring > Events.

Schritt 7: Schwachstellenerkennung testen

Auf dem Wazuh-Manager /var/ossec/etc/ossec.conf prüfen, der Block <vulnerabilities> sollte vorhanden sein. Auf dem Linux-Agent sudo apt update && sudo apt list --upgradable ausführen, Wazuh liest den dpkg-Status aus. Im Dashboard unter Endpoint security > Vulnerability detection erscheinen Scan-Ergebnisse nach 1 bis 6 Stunden.

Schritt 8: Wazuh-Indexer pflegen

Status prüfen:

sudo -u wazuh-indexer /usr/share/wazuh-indexer/bin/indexer-cli --query "_cluster/health?pretty"

Sollte "status": "green" zeigen. Disk-Belegung prüfen mit df -h /var/lib/wazuh-indexer. Wazuh behält Logs standardmäßig 90 Tage, bei knapper Platte Rotation verkürzen.

Schritt 9: Backup einrichten

Wazuh-Konfiguration sichern:

sudo tar -czf /backup/wazuh-config-$(date +%Y%m%d).tar.gz /var/ossec/etc

Automatisiertes Backup per Cron (Sonntag 03:00, 30 Tage aufbewahren):

sudo crontab -e

Zeile hinzufügen:

0 3 * * 0 tar -czf /backup/wazuh-config-$(date +\%Y\%m\%d).tar.gz /var/ossec/etc && find /backup -name "wazuh-config-*" -mtime +30 -delete

Schritt 10: Absicherung

SSH-Zugriff auf den Wazuh-Server härten:

sudo sed -i 's/#\?PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
sudo sed -i 's/#\?PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
sudo systemctl restart sshd

Wazuh-Dashboard nicht direkt aus dem Internet erreichbar machen. Reverse-Proxy mit nginx und Let's Encrypt oder direkter Zugriff nur über VPN. Wazuh-Manager-Ports 9200/TCP (Indexer) nicht nach außen freigeben. Fail2Ban für SSH installieren:

sudo apt install -y fail2ban
sudo systemctl enable --now fail2ban

Fehlersuche

Agent wird im Dashboard nicht aktiv: Netzwerk mit telnet 192.168.1.50 1514 testen. Agent-Log sudo tail -100 /var/ossec/logs/ossec.log und Manager-Log auf Verbindungsfehler prüfen. Bei Verwendung des Manager-Namens DNS-Auflösung in beide Richtungen verifizieren.

Dashboard nicht erreichbar: sudo systemctl status wazuh-dashboard und sudo journalctl -u wazuh-dashboard -n 50 prüfen. Port 443/TCP mit ss -tlnp | grep 443 verifizieren.

Indexer ist rot: Logs unter /var/log/wazuh-indexer/ prüfen, oft Disk voll. Bei Single-Node-Cluster ist Status „yellow" normal (kein Replica). Für dauerhaft grün in /etc/wazuh-indexer/opensearch.yml setzen:

index.number_of_replicas: 0

Anschließend sudo systemctl restart wazuh-indexer.

Passende Anleitungen auf S-EDV

  1. Checkmk auf Synology NAS einrichten für IT-Monitoring
  2. Zabbix Server aufsetzen und Hosts überwachen
  3. Uptime Kuma installieren mit Docker und Nginx Proxy Manager
  4. Vaultwarden Passwortmanager härten, Backup und fail2ban
  5. NIS2 für KMU umsetzen: Registrierung, Pflichten und Haftung
  6. CISA KEV: Warum der Known Exploited Vulnerabilities Catalog für Admins Pflicht ist

Quellen

  1. Wazuh Documentation: Installation Guide
  2. Wazuh Documentation: Wazuh server step-by-step
  3. Wazuh Documentation: Windows Agent Enrollment
  4. Wazuh Documentation: File Integrity Monitoring
  5. Wazuh Documentation: 4.14.6 Release Notes
  6. OpenNix: Wazuh 4.14 Quickstart
  7. OpenNix: Wazuh Agent 4.14 Installation
  8. ComputingForGeeks: Install Wazuh Server on Ubuntu 24.04 LTS
  9. Shattered.io: Wazuh SIEM einrichten Tutorial
  10. Security-Insider: Wazuh Open-Source SIEM im Test