Home » Uncategories » Post-Mortem: Error "Wazuh Dashboard Server is Not Ready"

Post-Mortem: Error "Wazuh Dashboard Server is Not Ready"

 Layanan Wazuh Dashboard tidak dapat diakses dan menampilkan pesan "Wazuh dashboard server is not ready yet". Setelah dilakukan pengecekan melalui terminal, ditemukan bahwa komponen utama, yaitu Wazuh Indexer, berada dalam status failed (timeout) atau red (unassigned shards).

Penyebab Utama (Root Cause)

Berdasarkan log sistem, ada tiga faktor utama yang menyebabkan kegagalan ini:

  • Resource Exhaustion (RAM/CPU): Wazuh Indexer berbasis Java (OpenSearch) memerlukan memori yang besar. Jika RAM penuh, proses Indexer akan mengalami timeout saat startup atau terhenti secara paksa (SIGTERM).

  • Shard Corruption/Unassigned: Penghentian servis secara mendadak (karena server mati atau crash) menyebabkan shards (bagian data) terkunci atau tidak teralokasi. Dalam kasus ini, hanya 10% shard yang aktif, sehingga sistem masuk ke status Red.

  • Inkonsistensi Saved Objects: Dashboard kehilangan "peta" atau index pattern untuk menampilkan data karena index .kibana korup atau tidak sinkron dengan data di Indexer.

    Ditemukan di journalctl -u wazuh-dashboard:

    {"type":"log","tags":["error","opensearch","data"],"pid":42048,"message":"[search_phase_execution_exception]: all shards failed"}
    {"type":"log","tags":["warning","savedobjects-service"],"pid":42048,"message":"Unable to connect to OpenSearch. Error: search_phase_execution_exception: "}
     

Langkah Penyelesaian (Solusi)

Tahap A: Memperbaiki Service Indexer

Jika Indexer gagal start karena timeout, tambahkan durasi tunggu pada konfigurasi systemd:

  1. Buat file override: /etc/systemd/system/wazuh-indexer.service.d/timeout.conf.

  2. Isi dengan TimeoutStartSec=600.

  3. Jalankan systemctl daemon-reload dan restart service.

Tahap B: Memulihkan Kesehatan Database (Cluster Health)

Jika status database Red, paksa sistem untuk menghubungkan kembali data yang terputus:

Perintah untuk memaksa alokasi shard yang gagal 
curl -k -u admin:PASSWORD -X POST "https://localhost:9200/_reroute?retry_failed=true" 

Pantau hingga active_shards_percent_as_number mencapai di atas 90% atau berstatus Yellow/Green

Tahap C: Reset Konfigurasi Dashboard (Saved Objects)

Jika muncul error Saved object for index pattern not found, hapus index konfigurasi agar Dashboard melakukan inisialisasi ulang:

# Menghapus index pengaturan (Aman bagi data alert) 
curl -k -u admin:PASSWORD -X DELETE "https://localhost:9200/.kibana*" 

# Restart Dashboard 
systemctl restart wazuh-dashboard

Rekomendasi Pencegahan

  • Monitoring RAM: Pastikan server memiliki minimal 8GB RAM untuk instalasi All-in-One.

  • JVM Tuning: Atur Xms dan Xmx di /etc/wazuh-indexer/jvm.options agar sesuai dengan kapasitas RAM (disarankan setengah dari total RAM).

  • Disk Management: Jangan biarkan disk melebihi 85%, karena Indexer akan otomatis mengunci database menjadi read-only pada angka 95%.

 

 

Subscribe to receive free email updates:

0 Response to "Post-Mortem: Error "Wazuh Dashboard Server is Not Ready""

Posting Komentar

Aturan Berkomentar :

1. Berbicara menggunakan bahasa yang enak didengar. Tidak Untuk menyinggung perasaan orang Lain.

2.Spamming (Spam Comment)

3.Kalau Mau ngopy-paste artikel disini, Berikan sumbernya

Langganan: Posting Komentar (Atom)