Wazuh 4.14 SIEM auf Ubuntu 24.04 installieren: Schritt-für-Schritt-Anleitung
Wazuh 4.14 ist ein kostenloses Open-Source-SIEM mit XDR-Funktion. Diese Anleitung installiert Wazuh als Single-Node-Setup auf Ubuntu 24.04 LTS, genug für KMU mit bis zu 100 Endpunkten, inklusive erstem Linux- und Windows-Agent.

Wazuh ist ein kostenloses Open-Source-SIEM (Security Information and Event Management) mit XDR-Funktion. Es sammelt Log- und Telemetriedaten von Linux-, Windows- und macOS-Endpunkten, führt Dateiintegritätsüberwachung (FIM), Schwachstellenerkennung (Vulnerability Detection) und aktive Reaktion (Active Response) durch. Diese Anleitung installiert Wazuh als Single-Node-All-in-One-Setup auf Ubuntu 24.04 LTS, genug für KMU-Umgebungen mit bis zu 100 Endpunkten. Die Anleitung basiert auf Wazuh 4.14.6, veröffentlicht am 01.07.2026.
Diese Anleitung richtet sich an IT-Administratoren und IT-Verantwortliche in kleinen und mittleren Unternehmen, die ein eigenes SIEM aufbauen möchten – etwa für NIS2-Anforderungen, internes Monitoring oder als Ergänzung zu einem Managed-Security-Service. Wer bereits ein anderes SIEM betreibt oder einen Managed-Security-Vertrag hat, braucht Wazuh typischerweise nicht zusätzlich.
Voraussetzungen
Hardware (Single-Node für 50 bis 100 Endpunkte):
- CPU: 4 vCPUs (8 empfohlen für 100 Endpunkte)
- RAM: 8 GB Minimum, 16 GB empfohlen
- Festplatte: 50 GB Minimum (SSD empfohlen), Wachstum etwa 10 bis 20 GB pro Monat bei 50 Endpunkten
- Netzwerk: 1 Gbit/s, statische IPv4-Adresse
Software:
- Ubuntu Server 24.04 LTS (64-Bit), frisch installiert
- Root-Zugriff oder sudo-Berechtigung
- Funktionierender Internetzugang
- DNS-Auflösung in beide Richtungen
Netzwerk-Ports (in Firewall öffnen):
- 1514/TCP: Agent-zu-Manager-Kommunikation (verschlüsselt)
- 1515/TCP: Agent-Enrollment
- 514/UDP und 514/TCP: Syslog-Eingang (optional)
- 9200/TCP: Wazuh-Indexer (intern, nicht extern freigeben)
- 443/TCP: Wazuh-Dashboard (Web-UI, https)
Zeitaufwand: 45 bis 60 Minuten für die Erstinstallation, dann 10 Minuten pro Endpunkt für Agent-Rollout.
Schritt 1: Ubuntu vorbereiten
System aktualisieren:
sudo apt update && sudo apt upgrade -yNotwendige Pakete installieren:
sudo apt install -y curl apt-transport-https lsb-release gnupg2 software-properties-commonStatische IP-Adresse setzen, falls nicht per DHCP-Reservierung erledigt. Netplan-Konfiguration in /etc/netplan/01-netcfg.yaml:
network:
version: 2
renderer: networkd
ethernets:
ens18:
addresses:
- 192.168.1.50/24
routes:
- to: default
via: 192.168.1.1
nameservers:
addresses: [192.168.1.10, 1.1.1.1]Anwenden mit sudo netplan apply.
Hostname setzen:
sudo hostnamectl set-hostname wazuh.s-edv.lan
echo "127.0.1.1 wazuh.s-edv.lan wazuh" | sudo tee -a /etc/hostsSchritt 2: Wazuh-Installer herunterladen und ausführen
Aktuellen Wazuh-Installer holen:
curl -sO https://packages.wazuh.com/4.14/wazuh-install.sh
chmod +x wazuh-install.shInstallation im All-in-One-Modus starten. Der Schalter -a aktiviert Manager, Indexer und Dashboard auf einem Host. -i ignoriert Hardware-Mindestanforderungen, falls die VM knapp dimensioniert ist.
sudo ./wazuh-install.sh -a -iWährend der Installation (Dauer 20 bis 30 Minuten) werden Wazuh-Pakete aus dem offiziellen Repo geladen, der OpenSearch-Indexer konfiguriert, SSL-Zertifikate zwischen Manager, Indexer und Dashboard selbstsigniert generiert, Filebeat installiert, und das Wazuh-Dashboard unter https://<IP>:443 bereitgestellt.
Am Ende der Installation wird das Dashboard-Passwort angezeigt. Notieren:
INFO: The Wazuh dashboard password is: xR3pT2vM9qLb8cF1Bei Verlust zurücksetzen mit sudo /usr/share/wazuh-dashboard/bin/opensearch-dashboards-reset-password.
Schritt 3: Erste Anmeldung am Dashboard
Browser öffnen: https://192.168.1.50:443. Zertifikatswarnung akzeptieren (selbstsigniert). Anmelden mit admin und dem notierten Passwort. Sprache auf Deutsch umstellen (Profil-Icon > Preferences > Language > Deutsch) und Standard-Passwort ändern.
Schritt 4: Linux-Agent auf einem Endpunkt installieren
Auf dem Wazuh-Manager ein Enrollment-Passwort setzen:
sudo /var/ossec/bin/manage_agents -a eAuf dem Linux-Endpunkt (mit root-Zugriff):
curl -sO https://packages.wazuh.com/4.14/wazuh-agent-install.sh
sudo bash ./wazuh-agent-install.sh -a -o WAZUH_MANAGER_IP="192.168.1.50" -o SERVER_IP="192.168.1.50"Status prüfen:
sudo systemctl status wazuh-agentSollte active (running) zeigen. Logs: sudo tail -f /var/ossec/logs/ossec.log. Im Dashboard unter Server management > Endpoint summary erscheint der neue Agent mit Status „Active" nach 30 bis 60 Sekunden.
Schritt 5: Windows-Agent auf einem Endpunkt installieren
Auf dem Wazuh-Manager Enrollment-Token generieren:
sudo /var/ossec/bin/manage_agents -a eAuf dem Windows-Endpunkt in PowerShell als Administrator:
Invoke-WebRequest -Uri "https://packages.wazuh.com/4.14/windows/wazuh-agent-4.14.6-1.msi" -OutFile "$env:TEMP\wazuh-agent.msi"
msiexec /i $env:TEMP\wazuh-agent.msi /q WAZUH_MANAGER="192.168.1.50"
net start wazuhFirewall-Ausnahme manuell setzen, falls blockiert:
New-NetFirewallRule -DisplayName "Wazuh Agent" -Direction Outbound -RemotePort 1514 -RemoteAddress 192.168.1.50 -Protocol TCP -Action AllowStatus prüfen: Windows-Dienste > „Wazuh" muss „Wird ausgeführt" zeigen. Im Dashboard erscheint der Agent nach maximal 2 Minuten.
Schritt 6: Dateiintegritätsüberwachung aktivieren
Auf dem Linux-Agent /var/ossec/etc/ossec.conf bearbeiten. Im Block <syscheck> ergänzen:
<syscheck>
<disabled>no</disabled>
<directories check_all="yes" realtime="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes" realtime="yes" report_changes="yes">/var/ossec/etc</directories>
<directories check_all="yes" realtime="yes">/var/www</directories>
</syscheck>Agent-Konfiguration neu laden:
sudo systemctl restart wazuh-agentFIM-Alerts anzeigen: Endpoint security > File integrity monitoring > Events.
Schritt 7: Schwachstellenerkennung testen
Auf dem Wazuh-Manager /var/ossec/etc/ossec.conf prüfen, der Block <vulnerabilities> sollte vorhanden sein. Auf dem Linux-Agent sudo apt update && sudo apt list --upgradable ausführen, Wazuh liest den dpkg-Status aus. Im Dashboard unter Endpoint security > Vulnerability detection erscheinen Scan-Ergebnisse nach 1 bis 6 Stunden.
Schritt 8: Wazuh-Indexer pflegen
Status prüfen:
sudo -u wazuh-indexer /usr/share/wazuh-indexer/bin/indexer-cli --query "_cluster/health?pretty"Sollte "status": "green" zeigen. Disk-Belegung prüfen mit df -h /var/lib/wazuh-indexer. Wazuh behält Logs standardmäßig 90 Tage, bei knapper Platte Rotation verkürzen.
Schritt 9: Backup einrichten
Wazuh-Konfiguration sichern:
sudo tar -czf /backup/wazuh-config-$(date +%Y%m%d).tar.gz /var/ossec/etcAutomatisiertes Backup per Cron (Sonntag 03:00, 30 Tage aufbewahren):
sudo crontab -eZeile hinzufügen:
0 3 * * 0 tar -czf /backup/wazuh-config-$(date +\%Y\%m\%d).tar.gz /var/ossec/etc && find /backup -name "wazuh-config-*" -mtime +30 -deleteSchritt 10: Absicherung
SSH-Zugriff auf den Wazuh-Server härten:
sudo sed -i 's/#\?PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
sudo sed -i 's/#\?PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
sudo systemctl restart sshdWazuh-Dashboard nicht direkt aus dem Internet erreichbar machen. Reverse-Proxy mit nginx und Let's Encrypt oder direkter Zugriff nur über VPN. Wazuh-Manager-Ports 9200/TCP (Indexer) nicht nach außen freigeben. Fail2Ban für SSH installieren:
sudo apt install -y fail2ban
sudo systemctl enable --now fail2banFehlersuche
Agent wird im Dashboard nicht aktiv: Netzwerk mit telnet 192.168.1.50 1514 testen. Agent-Log sudo tail -100 /var/ossec/logs/ossec.log und Manager-Log auf Verbindungsfehler prüfen. Bei Verwendung des Manager-Namens DNS-Auflösung in beide Richtungen verifizieren.
Dashboard nicht erreichbar: sudo systemctl status wazuh-dashboard und sudo journalctl -u wazuh-dashboard -n 50 prüfen. Port 443/TCP mit ss -tlnp | grep 443 verifizieren.
Indexer ist rot: Logs unter /var/log/wazuh-indexer/ prüfen, oft Disk voll. Bei Single-Node-Cluster ist Status „yellow" normal (kein Replica). Für dauerhaft grün in /etc/wazuh-indexer/opensearch.yml setzen:
index.number_of_replicas: 0Anschließend sudo systemctl restart wazuh-indexer.
Passende Anleitungen auf S-EDV
- Checkmk auf Synology NAS einrichten für IT-Monitoring
- Zabbix Server aufsetzen und Hosts überwachen
- Uptime Kuma installieren mit Docker und Nginx Proxy Manager
- Vaultwarden Passwortmanager härten, Backup und fail2ban
- NIS2 für KMU umsetzen: Registrierung, Pflichten und Haftung
- CISA KEV: Warum der Known Exploited Vulnerabilities Catalog für Admins Pflicht ist
Quellen
- Wazuh Documentation: Installation Guide
- Wazuh Documentation: Wazuh server step-by-step
- Wazuh Documentation: Windows Agent Enrollment
- Wazuh Documentation: File Integrity Monitoring
- Wazuh Documentation: 4.14.6 Release Notes
- OpenNix: Wazuh 4.14 Quickstart
- OpenNix: Wazuh Agent 4.14 Installation
- ComputingForGeeks: Install Wazuh Server on Ubuntu 24.04 LTS
- Shattered.io: Wazuh SIEM einrichten Tutorial
- Security-Insider: Wazuh Open-Source SIEM im Test