İçerik Tablosu
Wazuh Indexer ve Dashboard Performans Optimizasyonu
Wazuh, güçlü bir güvenlik izleme platformu olmasına rağmen, bazı durumlarda bellek yönetimi ve performans sorunları yaşanabilir. Bu makalede, Wazuh Indexer ve Dashboard’un “circuit_break” hatası sonrası nasıl optimize edildiğini adım adım anlatacağım.
Sorun Tanımı
Kurulum sonrası Wazuh Dashboard başlatılamıyor ve aşağıdaki hata mesajı alınıyordu:
FATAL {"error":{"root_cause":[{"type":"circuit_break"...
Bu hata genellikle heap memory yetersizliği nedeniyle oluşur ve Wazuh Indexer (OpenSearch tabanlı) belleği yönetemez hale gelir.
Çözüm Adımları
Aşağıdaki adımları takip ederek Wazuh Indexer ve Dashboard’un sağlıklı çalışmasını sağladım.
1. Wazuh Indexer Heap Memory Artırma
Varsayılan heap memory (Xms/Xmx) ayarları yetersizdi. Sunucuda 32GB RAM olduğu için, belleği artırarak performansı iyileştirmiş oldum.
Heap Memory Ayarlarını Güncelleme
sudo nano /etc/wazuh-indexer/jvm.options
Açılan dosyada aşağıdaki satırları aktif hale getirdim:
-Xms8g
-Xmx8g
💡 Neden 8GB?
- Varsayılan ayar 1GB olduğundan dolayı Wazuh Indexer yetersiz kaynak nedeniyle çökmekteydi.
- Sunucunun toplam 32GB RAM’i olduğu için 8GB ayırmak ideal bir seçim oldu.
Dosyayı kaydettikten sonra şu komutlarla değişiklikleri uyguladım:
systemctl restart wazuh-indexer
2. Wazuh Dashboard’u Yeniden Başlatma
Heap memory artırıldıktan sonra Wazuh Dashboard hala çalışmıyordu, bu yüzden Wazuh Indexer’e bağlanma süresini artırmak için timeout değerini değiştirdim.
sudo nano /var/ossec/etc/internal_options.conf
Açılan dosyada şu satırları ekleyin veya değiştirin:
wazuh_indexer.timeout=60
wazuh_indexer.sleep_time=1
wazuh_indexer.bulk_queue_size=8192
wazuh_indexer.log_level=1
# Log Collector (Log Toplama) Ayarları
logcollector.queue_size=131072
logcollector.max_output_size=131072
logcollector.max_lines=100000
logcollector.max_files=900
# Agent Bağlantı ve Kuyruk Yönetimi
remote.requests_queue=512
remote.responses_queue=512
wazuh.agent_keepalive=300
# Olay ve Veri İşleme Performansı
analysisd.sleep_after=50
analysisd.stats_interval=5
analysisd.decoder_order_size=256
analysisd.global_stat_frequency=10
analysisd.connection_stat_frequency=10
# Wazuh Database ve EPS (Events Per Second) Optimizasyonu
wazuh_db.max_eps=10000
wazuh_db.memory.size=2097152
Bu değişikliklerden sonra Wazuh Manager ve Dashboard’u yeniden başlatın:
systemctl restart wazuh-manager
systemctl restart wazuh-dashboard
Kontrol için:
systemctl status wazuh-dashboard
3. Wazuh Indexer Log Yönetimi ve Kuyruk Optimizasyonu
Wazuh log işleme sürecini hızlandırmak ve kuyruk uzunluğunu artırmak için şu değişiklikleri yaptım:
sudo nano /var/ossec/etc/internal_options.conf
Aşağıdaki parametreleri optimize edin:
logcollector.queue_size=131072
wazuh_db.max_eps=10000
wazuh_db.memory.size=2097152
remote.requests_queue=512
remote.responses_queue=512
Bu değişiklikler ile Wazuh daha fazla log işleyebilir hale geldi ve “circuit_break” hatası ortadan kalktı.
4. Son Kontroller
Tüm optimizasyonlardan sonra şu komutları çalıştırarak sistem stabil mi kontrol ettim:
systemctl status wazuh-indexer
systemctl status wazuh-dashboard
systemctl status wazuh-manager
Ayrıca logları inceleyerek yeni bir hata olup olmadığını doğrulamış oldum:
journalctl -u wazuh-dashboard --no-pager | tail -n 50
journalctl -u wazuh-indexer --no-pager | tail -n 50
- Yapılan değişikliklerden sonra Wazuh Indexer daha hızlı çalışıyor ve “circuit_break” hatası ortadan kalktı.
- Dashboard sorunsuz açılıyor ve performans iyileşti.
- Log yönetimi optimize edildi, daha fazla EPS (Events per Second) işlenebilir hale geldi.
Bu yapılandırmalar ile yüksek performanslı ve stabil bir Wazuh SIEM ortamı sağlanmış oldu.
No Comment! Be the first one.