Wazuh 5.0.0 beta1 | etc/rules
31 views
Skip to first unread message
suricata
May 22, 2026, 6:44:52 AM (yesterday) May 22
to Wazuh | Mailing List
Hola a todos,
Estoy en laboratorio de pruebas probando Wazuh 5.0.0. Entiendo que ha cambiado la filosofía, arquitectura, etc. miedo me da preguntar dónde están las rules tal como la conocemos de la rama 4. Solo veo " /var/wazuh-manager/data/ruleset/cmsync_standard_cefc/decoders " y en formato json .... una locura.
¿ Tanto ha cambiado ?. ¿ Vamos a tener que empezar de 0 para migrar la cantidad de rules personalizadas ?. ¿ Habrá alguna herramienta de migración para las rules y decoders de la rama 4 ?.
Saludos,
Luciano Valinotti
May 22, 2026, 9:51:47 AM (yesterday) May 22
to Wazuh | Mailing List
Hola suricata,
Sí, en Wazuh 5.0.0 se introducen cambios importantes en la arquitectura y en la forma en la que se gestiona parte del ruleset.
Sí, en Wazuh 5.0.0 se introducen cambios importantes en la arquitectura y en la forma en la que se gestiona parte del ruleset.
La estructura que estás viendo bajo:
/var/wazuh-manager/data/ruleset/
corresponde al nuevo enfoque de contenido sincronizado y componentes basados en JSON.
De todas formas, esto no implica necesariamente que haya que rehacer todas las rules y decoders personalizados desde cero. La compatibilidad y migración de contenido existente es uno de los puntos que se están evaluando durante esta fase beta.
Todavía hay aspectos que pueden evolucionar antes de la release estable, especialmente en lo relacionado a tooling, estructura final y experiencia de migración, por lo que el feedback que están compartiendo en estas pruebas es muy valioso.
/var/wazuh-manager/data/ruleset/
corresponde al nuevo enfoque de contenido sincronizado y componentes basados en JSON.
De todas formas, esto no implica necesariamente que haya que rehacer todas las rules y decoders personalizados desde cero. La compatibilidad y migración de contenido existente es uno de los puntos que se están evaluando durante esta fase beta.
Todavía hay aspectos que pueden evolucionar antes de la release estable, especialmente en lo relacionado a tooling, estructura final y experiencia de migración, por lo que el feedback que están compartiendo en estas pruebas es muy valioso.
Saludos!!
suricata
May 22, 2026, 12:39:48 PM (23 hours ago) May 22
to Wazuh | Mailing List
Muchas gracias, Luciano.
Lo tengo instalado en una máquina virtual como prueba con dos agentes windows. Después de tanto años con OSSEC y después/ahora con Wazuh, con esta versión me siento completamente perdido. Tengo cientos de reglas complejas y decoders personalizados, mapeos Filebeat, syslogs enviando daos al server y ahora soy incapaz de crear ninguna regla ni nada xDDDDD. Creo que he hecho bien en montar la beta e ir trasteando y migrando a medida que vaya avanzando el proyecto de la nueva rama , documentación y herramientas para migración de rules y decoders.
Saludos,
Reply all
Reply to author
Forward
0 new messages