Wazuh 5.0 Beta 1 im Schnellcheck:
- Komplett neue Detection-Engine ersetzt das alte Ruleset-System.
- Eigener Indexer statt gebundeltem OpenSearch-Fork.
- Alle Server-Installationen laufen ab jetzt als Cluster-Node by default.
- Agent-Protokoll neu — alte 4.x-Agents brauchen Upgrade vor Reconnect.
Wazuh wirft die Beine in die Luft
Wer SIEM und XDR im Homelab oder im KMU laufen hat, kennt Wazuh: open-source, breit unterstützt, aber mit einer Detection-Engine, die aus den Mid-2010ern stammt. Mit Wazuh 5.0 Beta 1 dreht das Team das gesamte Innenleben durch — und macht damit das größte Update seit der Trennung von OSSEC.
Neue Detection-Engine
Die alte Decoder-Rules-Pipeline (XML-Regeln in ruleset.xml) bekommt einen Nachfolger mit einer eigenen Detection Engine, die einheitliche Daten-Schemas und native Threat-Intelligence direkt im Server kann. Das heißt: Du musst dir keine 100 MB Signatures-Sets mehr aus GitHub klonen. Wazuh liefert IoCs (IP-Adressen, File-Hashes, URLs) und Detection-Regeln vom Wazuh CTI-Service in den Server rein.
Eigener Indexer
Bisher kam Wazuh mit einem geforkten OpenSearch-Cluster — das hat Setup-Komplexität, Storage-Kosten und Lock-In gebracht. 5.0 hat einen eigenen Indexer-Komponenten, der schlanker laufen soll. Wer schon eine OpenSearch- oder Elastic-Instanz hat, kann die weiternutzen. Wer von Null startet, kommt jetzt mit deutlich weniger RAM-Hunger weg.
Cluster by default
Die „Stand-alone-Edition“ als Sonderpfad entfällt — jeder neue Server läuft jetzt als einzelner Cluster-Node. Skalieren funktioniert ohne Migration. Für dein Homelab heißt das: heute ein Node, in einem Jahr zwei, ohne neu zu installieren.
Agent-Protokoll neu
WICHTIG fuer dein Patch-Management: Das Agent-Protokoll wurde umgeschrieben. Alte Wazuh 4.x Agents verbinden sich nicht direkt mit dem 5.0-Server — du musst die Agents erst auf 5.0 bringen, bevor sie reconnecten. Plane das also nicht „mal eben am Sonntag“, sondern als gestaffelten Rollout über die Fleet.
Wann wird das stable?
Das Wazuh-Projektboard listet die offene ETA als 19. Juni 2026. Heißt: Stable-Release voraussichtlich Ende Juni / Anfang Juli 2026. Bis dahin testest du im Lab. NICHT in Produktion. Beta 1 hat noch Reste an Wartezeit, was die Migration und Logging-Pfade angeht.
Häufige Fragen zu Wazuh 5.0 Beta 1
Kann ich von 4.14 direkt auf 5.0 upgraden?
Im Lab ja, aber Production wartest du auf Stable. Migration ist einseitig — Downgrade auf 4.x ist nicht vorgesehen.
Brauche ich neue Hardware?
Eher nein. Der neue Indexer kommt mit weniger RAM aus als der OpenSearch-Fork. Ein 4-Core-VPS mit 8 GB reicht fuer kleine Setups.
Wie installiere ich die Beta?
Mistral-Style Docker-Compose oder die offizielle Beta-Repo-Liste. Quick-Install-Skript steht auf documentation.wazuh.com bereit.
Lohnt sich Wazuh ueberhaupt fuer Privat-Homelabs?
Ja, wenn du mehr als 5 Endgeraete oder Container hast. Unter 5 reicht meist auch auditd plus Loki/Grafana.