MundiXMUNDIX WEB
Wazuh: Testando o Processamento de um Grande Volume de Eventos de Alteração de Arquivos
WazuhSegurança de ArquivosMonitoramento de LogsCibersegurançaCódigo Aberto

Wazuh: Testando o Processamento de um Grande Volume de Eventos de Alteração de Arquivos

Um teste prático revela que o Wazuh, uma popular plataforma de código aberto para monitoramento de segurança, enfrenta desafios significativos no processamento de um alto volume de eventos de alteração de arquivos, resultando em perda de dados.

MundiX News·01 de junho de 2026·6 min de leitura·👁 14 views

Olá, Habr! Meu nome é Fyodor Tyshkov. Trabalho no departamento de suporte de infraestrutura de um pequeno banco. Fui encarregado de testar a funcionalidade de uma ferramenta de código aberto para rastrear alterações em arquivos de configuração. Antes de começar, pesquisei muitas avaliações e quase todas foram positivas, então parecia que tudo correria "sem problemas". Mas vamos aos detalhes.

Wazuh é uma plataforma popular e multifuncional de código aberto para monitoramento de eventos de segurança. É amplamente utilizada para rastrear alterações de arquivos, analisar logs e detectar ameaças. A plataforma é composta por vários componentes-chave:

  • Agente: Instalado em endpoints (estações de trabalho, servidores, contêineres), ele coleta dados de segurança e os envia para o servidor central para análise.
  • Servidor (Gerenciador): Analisa os dados recebidos dos agentes, os decodifica, compara com regras de detecção e gera alertas. Suporta configuração em cluster para garantir resiliência e distribuição de carga.
  • Indexador: Armazena dados em um banco de dados OpenSearch (um fork do Elasticsearch), garantindo armazenamento de longo prazo, busca em texto completo e agregação.
  • Dashboard: Uma interface web para visualizar e filtrar alertas em tempo real, visualizar dados através de gráficos, tabelas e mapas, e gerenciar agentes, regras e configurações.

Para sistemas de TI críticos, uma solução confiável para rastrear alterações em arquivos de configuração é essencial. Tanto a completude dos dados (ausência de perda de eventos durante a detecção e processamento) quanto a precisão desses dados são importantes. Isso é necessário para:

  • Detectar alterações não autorizadas na configuração do sistema operacional observado (criação de pontos de entrada no sistema por um invasor) e do software aplicado (correção e estabilidade do sistema).
  • Controlar e monitorar a integridade do sistema.
  • Cumprir requisitos regulatórios.
  • Identificar e responder a incidentes de forma oportuna.

Como parte da tarefa atribuída, precisei verificar a capacidade do Wazuh de processar uma quantidade realista (não de laboratório ou demonstração) de eventos sem perda de dados e atrasos no processamento.

Metodologia de Teste

Ambiente:

  • Servidor: Wazuh. Implantado e configurado conforme descrito nos testes abaixo.
  • Agentes: Windows e Linux.
  • Cenário: Criação de um arquivo de 16 MB e subsequente introdução de mais de 10.000 alterações.

Cenário de Teste no Windows

Para o cliente Windows, foram utilizados três scripts:

  • run.cmd - script para executar sequencialmente os scripts test_1.cmd e test_2.cmd:

    batch
    @echo off
start /wait test_1.cmd 
start /wait test_2.cmd
exit

  • test_1.cmd - criação de um arquivo de 16 MB duplicando repetidamente o conteúdo:

    batch
    @echo off
echo "This is just a sample line appended to create a big file. " > test.txt
for /L %%i in (1,1,18) do (
type test.txt >> test.txt
)
Exit

  • test_2.cmd - adição de 10.000 linhas com timestamps:

    batch
    @echo off
for /L %%x in (1,1,10000) do (
echo %%x %date% %time% >> test.txt
)
Exit

Os scripts foram colocados no diretório C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp, que é monitorado pelo Wazuh por padrão.

Cenário de Teste no Linux

Para o cliente Linux, uma linha foi previamente adicionada ao arquivo de configuração /var/ossec/etc/ossec.conf:

xml
<directories check_all="yes" realtime="yes" whodata="yes">/tmp/test</directories>

Após isso, o serviço foi reiniciado:

bash
sudo systemctl restart wazuh-agent.service

  • run.sh - script para executar os scripts test1.sh e test2.sh:

    bash
    #!/bin/bash
bash test1.sh
bash test2.sh

  • test1.sh - criação de um arquivo de 16 MB:

    bash
    #!/bin/bash
dd if=/dev/urandom of=test.txt bs=1M count=16

  • test2.sh - adição de 10.000 linhas com timestamps:

    bash
    #!/bin/bash
for x in {1..10000}
do
    echo "$x $(date '+%d.%m.%Y %H:%M:%S')" >> test.txt
done

Os scripts foram colocados no diretório /tmp/test/, cujo monitoramento foi adicionado ao arquivo de configuração.

Resultados do Teste

Windows: Número crítico de eventos de alteração de objeto monitorado não registrados

ParâmetroEsperadoRegistradoPerda de Dados
Eventos de alteração de arquivo~10.019~2099,8%
Eventos registrados10.01920

Conclusão: O Wazuh registrou apenas 20 eventos dos 10.019 esperados. Isso indica sérios problemas no processamento de um grande número de alterações de arquivos em tempo real.

Linux: Melhor, mas insuficiente

ParâmetroEsperadoRegistradoPerda de Dados
Eventos de alteração de arquivo~10.001~12098,8%
Eventos registrados10.001120

Conclusão: O cliente Linux apresentou um resultado melhor (120 eventos contra 20 no Windows), no entanto, a perda de 98,8% dos eventos permanece inaceitável para o monitoramento de eventos em sistemas críticos.

Análise dos Problemas

  • Pós-processamento assíncrono de eventos: O agente Wazuh utiliza os recursos do sistema operacional para detecção dinâmica (em tempo real) de eventos de alteração e, filtrando a fila de eventos no buffer do mecanismo de journaling do SO, realiza o pós-processamento independente dos eventos (criação de uma cópia sombra do conteúdo e cálculo do checksum do arquivo alterado). Como o pós-processamento dos eventos é realizado de forma assíncrona, enquanto os artefatos de um evento estão sendo processados, outros eventos na fila são ignorados.

  • Gargalo no armazenamento local de eventos registrados no agente: O agente Wazuh utiliza um buffer local para acumular eventos antes de enviá-los para o servidor. Com alta intensidade de registro de eventos, o espaço disponível no buffer do agente é preenchido e os eventos são perdidos.

  • Ausência de processamento adaptativo do fluxo de eventos de entrada no servidor: O servidor Wazuh não possui um mecanismo integrado para se adaptar a picos no fluxo de eventos de entrada. Quando o número de eventos chegando dos agentes excede a capacidade de processamento do servidor, os eventos são simplesmente descartados.

  • Ausência de garantias de entrega: O Wazuh não garante a entrega de cada evento. Em caso de sobrecarga, o sistema prefere perder eventos a desacelerar o processamento.

Comparação com Requisitos Regulatórios

Bancos centrais nacionais, padrões nacionais e internacionais de cibersegurança e outros reguladores setoriais geralmente exigem:

  • Rastreamento de 100% das alterações em objetos de configuração (arquivos e chaves).
  • Entrega garantida de eventos para o servidor.
  • Impacto mínimo no desempenho do sistema e das aplicações.
  • Registro de todos os eventos de segurança observados, sem exceção.
  • Escalabilidade com o crescimento da carga.

Resultados do Wazuh:

  • Perda de 98-99% dos eventos.
  • Ausência de garantias de entrega.
  • Atraso de processamento indefinido.
  • Eventos críticos podem ser perdidos.
  • Escalabilidade não garantida.

Possíveis Soluções e Recomendações

Posso dizer que o resultado do teste foi inesperado, lembrando todas as avaliações positivas lidas. O que notei para mim:

  • Perda de dados inaceitável: A perda de eventos é inaceitável para sistemas que exigem auditoria completa.
  • Ausência de garantias: O Wazuh não garante o registro de cada evento.
  • Escalabilidade limitada: O sistema não consegue lidar com a alta intensidade de eventos enviados ao servidor.

O Wazuh continua sendo uma excelente escolha para organizações de médio porte com requisitos moderados de monitoramento de eventos de segurança, mas requer ferramentas adicionais para garantir a proteção completa de sistemas críticos. Compartilhe nos comentários se você obteve resultados diferentes, é interessante trocar opiniões.

🛡️⚡

Pare de pesquisar. Comece a hackear.

O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.

Testar grátis por 7 dias →

Sem cartão para começar · Planos a partir de R$49/mês

📤 Compartilhar & Baixar

🧰 Ferramentas recomendadas

Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Com centenas de ferramentas pré-instaladas, a distribuição Kali Linux facilita o trabalho de os profissionais de segurança começarem a fazer testes de segurança rapidamente. No entanto, com mais de 600 ferramentas em seu arsenal, o Kali Linux também pode ser desafiador. A nova edição deste prático livro abrange as atualizações nas ferramentas e inclui uma melhor abordagem da análise forense e da engenharia reversa. Ric Messier, autor, não fica apenas no teste de segurança, mas também faz uma abordagem sobre a execução de análise forense, incluindo a análise em disco e na memória, assim como alguma análise básica de malware. • Explore as diversas ferramentas disponíveis no Kali Linux • Entenda o valor do teste de segurança e examine os tipos de teste disponíveis • Aprenda os aspectos básicos do pentest em todo o ciclo de vida do ataque • Instale o Kali Linux em vários sistemas, tanto físicos quanto virtuais • Descubra como usar diferentes ferramentas destinadas à segurança • Estruture um teste de segurança baseado nas ferramentas do Kali Linux • Estenda as ferramentas do Kali para criar técnicas de ataque avançadas • Use o Kali Linux para ajudar a criar relatórios quando o teste terminar “A abordagem concisa, clara e baseada na experiência adotada por Ric Messier para a introdução do Kali Linux e dos testes de cibersegurança é incomparável. Este livro é uma leitura excelente e acessível para iniciantes e um recurso valioso para qualquer pessoa.” —Alexander Arlt, Consultor sênior de segurança, Google

Ver na Amazon
Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Compatível com portas USB-C e USB-A, ideal para ampliar a conectividade de dispositivos como MacBook Pro e outros com portas USB-C. Inclui um adaptador USB-A extra, proporcionando uma conexão Ethernet estável e veloz de até 1 Gbps, perfeita para filmes, jogos online e videoconferências. Oferece três portas USB 3.0 com velocidades de transferência de até 5 Gbps, permitindo conectar mouse, teclado, discos rígidos e outros periféricos. Fabricado em alumínio durável, garantindo longa vida útil e resistência ao uso diário. Design compacto e leve, ideal para viagens de negócios e uso diário, facilitando o transporte e armazenamento. Funciona com Windows 10/8.1/8, Mac OS e Chrome OS, oferecendo versatilidade incomparável para diversas necessidades de conectividade. Assegura uma conectividade estável e rápida, perfeita para tarefas exigentes como transferência de dados, streaming e mais.

Ver na Amazon
Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure. You'll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you'll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you'll learn to perform common attacks, like those targeting an API's authentication mechanisms and the injection vulnerabilities commonly found in web applications. You'll also learn techniques for bypassing protections against these attacks. In the book's nine guided labs, which target intentionally vulnerable APIs, you'll practice: Enumerating APIs users and endpoints using fuzzing techniques Using Postman to discover an excessive data exposure vulnerability Performing a JSON Web Token attack against an API authentication process Combining multiple API attack techniques to perform a NoSQL injection Attacking a GraphQL API to uncover a broken object level authorization vulnerability

Ver oferta
Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Up-to-date strategies for thwarting the latest, most insidious network attacks This fully updated, industry-standard security resource shows, step by step, how to fortify computer networks by learning and applying effective ethical hacking techniques. Based on curricula developed by the authors at major security conferences and colleges, the book features actionable planning and analysis methods as well as practical steps for identifying and combating both targeted and opportunistic attacks. Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition clearly explains the enemy's devious weapons, skills, and tactics and offers field-tested remedies, case studies, and testing labs. You will get complete coverage of Internet of Things, mobile, and Cloud security along with penetration testing, malware analysis, and reverse engineering techniques. State-of-the-art malware, ransomware, and system exploits are thoroughly explained. Fully revised content includes 7 new chapters covering the latest threats Includes proof-of-concept code stored on the GitHub repository Authors train attendees at major security conferences, including RSA, Black Hat, Defcon, and B-Sides

Ver na Amazon
Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Proteção de privacidade aprimorada: protege o link de transmissão de dados para evitar roubo de informações, fornecendo proteção de segurança robusta que protege a privacidade do usuário durante transferências de arquivos e garante uma conexão segura para interações de dispositivos sem preocupações em vários ambientes Uso a longo prazo: a camada protetora resistente ao desgaste, combinada com um corpo de metal resistente, oferece gerenciamento de calor confiável e qualidade duradoura durante o uso diário Entrega eficiente de energia: a tecnologia de chip inteligente garante a identificação automática dos requisitos de energia, fornecendo carregamento eficiente alinhando-se com vários protocolos de carregamento rápido para maior conveniência Proteção contra sobrecarga: evitando riscos de sobrecarga, este bloqueador de dados USB protege a vida útil da bateria e garante um desempenho estável, mantendo um fluxo estável de energia para melhorar a longevidade do dispositivo de forma eficaz Prático de transportar: com atenção à portabilidade, este bloqueador de dados USB oferece um design compacto que é leve e fácil de transportar, melhorando a conveniência do usuário e operação eficiente

Ver na Amazon

📩 Newsletter MundiX

Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.

Ao assinar você concorda em receber e-mails. Cancele quando quiser.

Artigos Relacionados

Cuidado com 'Skills' para IA: Como um download inocente pode roubar seus dados

Cuidado com 'Skills' para IA: Como um download inocente pode roubar seus dados

6 min · 20 de jun.

Pré-vendas Abertas para a Terceira Edição Trimestral da "Hacker"

Pré-vendas Abertas para a Terceira Edição Trimestral da "Hacker"

6 min · 20 de jun.

Vulnerabilidade em fones de ouvido Apple Beats Studio permitia escuta de conversas

Vulnerabilidade em fones de ouvido Apple Beats Studio permitia escuta de conversas

4 min · 20 de jun.