Skip to main content

Políticas que uso hoy en día en Wazuh

Introducción

Apunte rápido para tener recogidas las políticas que uso en Wazuh. Si añado más en el futuro, irán aquí. La idea es mantener un equilibrio entre conservar información útil para análisis forense y no saturar el almacenamiento de la máquina virtual donde corre Wazuh.

Retención de índices en OpenSearch

Alerts — 90 días

Ver en Gitea

Política que elimina índices wazuh-alerts-* con más de 90 días de antigüedad. Se prioriza así mantener alertas recientes para correlaciones o revisiones rápidas, pero sin almacenar indefinidamente los índices que ya no aportan valor.

"policy_id": "wazuh-alerts-90d",
"description": "Eliminar índices wazuh-alerts-* mayores de 90 días"

Archives — 180 días

Ver en Gitea

Política que elimina índices wazuh-archives-* con más de 180 días de antigüedad. En este caso, la retención es más amplia porque los archives contienen un histórico completo de eventos que pueden ser útiles para investigaciones más largas o revisiones de cumplimiento.

"policy_id": "wazuh-archives-180d",
"description": "Eliminar índices wazuh-archives-* mayores de 180 días"

Métricas — 30 días

Ver en Gitea

Política que elimina índices wazuh-monitoring-* y wazuh-stats-* con más de 30 días de antigüedad. Las métricas tienen un valor más inmediato (estado de agentes, consumo de recursos, estadísticas de uso) y rara vez son necesarias más allá de un mes.

"policy_id": "wazuh-metrics-30d",
"description": "Eliminar índices wazuh-monitoring-* y wazuh-stats-* mayores de 30 días"

Limpieza en disco con crontab

Ver en Gitea

Además de la limpieza de índices en OpenSearch, aplico un borrado periódico en disco dentro de la VM de Wazuh. El espacio de esta máquina es limitado (~60 GB), así que conviene eliminar también los ficheros crudos que se van acumulando en /var/ossec/logs/. De no hacerlo, podrían saturar el disco aunque los índices ya estén rotados.

# Elimina alertas con más de 90 días de antigüedad
0 0 * * * find /var/ossec/logs/alerts/ -type f -mtime +90 -exec rm -f {} \;

# Elimina archivos de archivo (archives) con más de 90 días de antigüedad
0 0 * * * find /var/ossec/logs/archives/ -type f -mtime +90 -exec rm -f {} \;
  • alerts/ → se borran logs de alertas activas con más de 90 días.
  • archives/ → se borran logs de archivo con más de 90 días.

Esta doble estrategia (índices en OpenSearch + ficheros en disco) asegura que los datos no se acumulen por duplicado en dos capas distintas.

Resumen breve

  • Indices en OpenSearch: 90 días para alerts, 180 para archives, 30 para métricas.
  • Limpieza en disco: borrado de ficheros de alerts y archives >90 días en la VM.
  • Justificación: mantener información útil a corto/medio plazo sin comprometer el espacio limitado de la máquina virtual.
Back to top