Názor k článku Wazuh: nástroj pro správu informací o událostech a zabezpečení (SIEM) od finoX - Provozuju wazuh pro jeden komunitní server. Zahnívání nastávalo...

Provozuju wazuh pro jeden komunitní server. Zahnívání nastávalo jedině kvůli by default nedokonfigurované policy pro Opensearch
https://wazuh.com/blog/wazuh-index-management/

K vyčerpání shards dojde podle zatížení za pár měsíců, když se zapne uchovávání logů (archives), což je pro LM/SIEM základní potřeba.

Na začátku je potřeba odladit dekodéry a občas se k nim vrátit a doladit pro události, které na začátku nebyly.

Určitě to není jaderná věda, nejsem vývojář, neprovozuju jinde ELK a jde to. Dokumentace ujde, dekodéry jsou regex, podpora https://groups.google.com/g/wazuh? je ochotná, kvalitní-evropská, žádná indie.