Wazuh Indexer ve Dashboard Performans Optimizasyonu

Wazuh Indexer ve Dashboard Performans Optimizasyonu

Wazuh, güçlü bir güvenlik izleme platformu olmasına rağmen, bazı durumlarda bellek yönetimi ve performans sorunları yaşanabilir. Bu makalede, Wazuh Indexer ve Dashboard’un “circuit_break” hatası sonrası nasıl optimize edildiğini adım adım anlatacağım.

Sorun Tanımı

Kurulum sonrası Wazuh Dashboard başlatılamıyor ve aşağıdaki hata mesajı alınıyordu:

FATAL {"error":{"root_cause":[{"type":"circuit_break"...

Bu hata genellikle heap memory yetersizliği nedeniyle oluşur ve Wazuh Indexer (OpenSearch tabanlı) belleği yönetemez hale gelir.

Çözüm Adımları

Aşağıdaki adımları takip ederek Wazuh Indexer ve Dashboard’un sağlıklı çalışmasını sağladım.

1. Wazuh Indexer Heap Memory Artırma

Varsayılan heap memory (Xms/Xmx) ayarları yetersizdi. Sunucuda 32GB RAM olduğu için, belleği artırarak performansı iyileştirmiş oldum.

Heap Memory Ayarlarını Güncelleme

sudo nano /etc/wazuh-indexer/jvm.options

Açılan dosyada aşağıdaki satırları aktif hale getirdim:

-Xms8g
-Xmx8g

💡 Neden 8GB?

• Varsayılan ayar 1GB olduğundan dolayı Wazuh Indexer yetersiz kaynak nedeniyle çökmekteydi.
• Sunucunun toplam 32GB RAM’i olduğu için 8GB ayırmak ideal bir seçim oldu.

Dosyayı kaydettikten sonra şu komutlarla değişiklikleri uyguladım:

systemctl restart wazuh-indexer

2. Wazuh Dashboard’u Yeniden Başlatma

Heap memory artırıldıktan sonra Wazuh Dashboard hala çalışmıyordu, bu yüzden Wazuh Indexer’e bağlanma süresini artırmak için timeout değerini değiştirdim.

sudo nano /var/ossec/etc/internal_options.conf

Açılan dosyada şu satırları ekleyin veya değiştirin:

wazuh_indexer.timeout=60
wazuh_indexer.sleep_time=1
wazuh_indexer.bulk_queue_size=8192
wazuh_indexer.log_level=1

# Log Collector (Log Toplama) Ayarları
logcollector.queue_size=131072
logcollector.max_output_size=131072
logcollector.max_lines=100000
logcollector.max_files=900

# Agent Bağlantı ve Kuyruk Yönetimi
remote.requests_queue=512
remote.responses_queue=512
wazuh.agent_keepalive=300

# Olay ve Veri İşleme Performansı
analysisd.sleep_after=50
analysisd.stats_interval=5
analysisd.decoder_order_size=256
analysisd.global_stat_frequency=10
analysisd.connection_stat_frequency=10

# Wazuh Database ve EPS (Events Per Second) Optimizasyonu
wazuh_db.max_eps=10000
wazuh_db.memory.size=2097152

Bu değişikliklerden sonra Wazuh Manager ve Dashboard’u yeniden başlatın:

systemctl restart wazuh-manager
systemctl restart wazuh-dashboard

Kontrol için:

systemctl status wazuh-dashboard

3. Wazuh Indexer Log Yönetimi ve Kuyruk Optimizasyonu

Wazuh log işleme sürecini hızlandırmak ve kuyruk uzunluğunu artırmak için şu değişiklikleri yaptım:

sudo nano /var/ossec/etc/internal_options.conf

Aşağıdaki parametreleri optimize edin:

logcollector.queue_size=131072
wazuh_db.max_eps=10000
wazuh_db.memory.size=2097152
remote.requests_queue=512
remote.responses_queue=512

Bu değişiklikler ile Wazuh daha fazla log işleyebilir hale geldi ve “circuit_break” hatası ortadan kalktı.

4. Son Kontroller

Tüm optimizasyonlardan sonra şu komutları çalıştırarak sistem stabil mi kontrol ettim:

systemctl status wazuh-indexer
systemctl status wazuh-dashboard
systemctl status wazuh-manager

Ayrıca logları inceleyerek yeni bir hata olup olmadığını doğrulamış oldum:

journalctl -u wazuh-dashboard --no-pager | tail -n 50
journalctl -u wazuh-indexer --no-pager | tail -n 50

• Yapılan değişikliklerden sonra Wazuh Indexer daha hızlı çalışıyor ve “circuit_break” hatası ortadan kalktı.
• Dashboard sorunsuz açılıyor ve performans iyileşti.
• Log yönetimi optimize edildi, daha fazla EPS (Events per Second) işlenebilir hale geldi.

Bu yapılandırmalar ile yüksek performanslı ve stabil bir Wazuh SIEM ortamı sağlanmış oldu.