\n(Ubuntu 26.04 wird mit Stand Mai 2026 noch nicht unterst\u00fctzt.)<\/li>\n
Installation des ThreatSync+ Collection Agents<\/h3>\n\n- \u00d6ffnen Sie in der WatchGuard Cloud den Bereich ThreatSync+ Integrations<\/strong>.
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2026\/04\/2026-05-18_12h33_34.png\")
<\/li>\n- Laden Sie im Bereich Kollektor-Agenten<\/strong> \u00fcber die Option Add Collection Agent<\/em> die
.run<\/code>-Datei aus Ihrer WatchGuard Cloud herunter.<\/li>\n- \u00dcbertragen Sie die Datei beispielsweise per WinSCP auf Ihre Linux-VM.<\/li>\n
- Wechseln Sie im Terminal in das entsprechende Verzeichnis und f\u00fchren Sie das Setup aus:
sudo bash 'Watchguard Agent.run'<\/code><\/li>\n- Wenn das Setup erfolgreich ausgef\u00fchrt wurde, erscheint in der Konsole die Nachricht Management Agent installation successfully completed!
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2026\/04\/2024-11-26_12h57_37-1.png\")
<\/em><\/li>\n- Falls Sie die ufw (Uncomplicated Firewall) verwenden, m\u00fcssen die folgenden Ports freigegeben werden:
\nsudo ufw allow 2055\/udp<\/code>
\nsudo ufw allow 6343\/udp<\/code>
\nsudo ufw allow 514\/udp<\/code>
\nsudo ufw enable<\/code><\/li>\n- Sollte Secure Boot auf dem System aktiviert sein, folgen Sie dieser Anleitung<\/a> von WatchGuard.<\/li>\n<\/ol>\n
Nach erfolgreicher Installation l\u00e4uft der Collection Agent als Systemdienst und startet automatisch beim Booten der VM.<\/p>\n
Collection Agent in der WatchGuard Cloud hinzuf\u00fcgen<\/h3>\n
Nach der Installation muss der Collection Agent noch dem NDR-System in der WatchGuard Cloud zugewiesen werden.
\nNavigieren Sie hierzu in den Bereich Konfigurieren \u2192 ThreatSync+ Integrations \u2192 Kollektoren:<\/strong>:
\n![\"WatchGuard](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2026\/04\/2024-11-26_13h15_49-e1779101334753.png\")
\nW\u00e4hlen Sie dort den installierten Collection Agent aus und speichern Sie die Konfiguration.
\nSobald sich der Agent erfolgreich mit der Cloud verbunden hat, wird der Status als Success<\/strong> angezeigt:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2026\/04\/2026-05-18_12h51_53.png\")
<\/p>\nHinweis: Es kann bis zu 90 Minuten dauern, bis die erste Meldung in der Cloud erfolgt.<\/p>\n
Nach erfolgreicher Verbindung arbeitet der Collection Agent automatisch im Hintergrund und \u00fcbertr\u00e4gt die gesammelten Telemetriedaten regelm\u00e4\u00dfig an die WatchGuard Cloud.<\/p>\n
Beispielkonfiguration von NetFlow und sFlow<\/h3>\n
In diesem Abschnitt werden Beispiele f\u00fcr die Konfiguration f\u00fcr NetFlow und sFlow anhand der Konfiguration einer WatchGuard Firebox und einem HP Aruba 2530 gezeigt.<\/p>\n
NetFlow auf einer WatchGuard Firebox konfigurieren<\/h4>\n
Die Firebox schickt bereits einen Teil ihrer Telemetrie direkt an die Cloud, sofern Cloud Visibility aktiviert wurde. NetFlow bietet hier jedoch noch einen tieferen Einblick in den Datenverkehr, da Informationen \u00fcber jede Netzwerkverbindung, unabh\u00e4ngig der Loggingeinstellungen auf der Firewall gesammelt werden.<\/p>\n
Um NetFlow auf einer lokal gemanageden Firebox zu aktiveren, navigieren Sie zu Setup \u2192 Netflow:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2026\/04\/2026-05-18_13h29_18.png\")
\n<\/strong>Dort k\u00f6nnen Sie festlegen, welche VLANs und Interfaces ihre Daten an den Collection Agent senden sollen. So lassen sich beispielsweise G\u00e4ste-WLANs oder andere nicht relevante Netzwerksegmente gezielt ausschlie\u00dfen. Dadurch werden unn\u00f6tige Daten\u00fcbertragungen vermieden und Bandbreite eingespart.<\/p>\nsFlow auf einem HP Aruba 2530 konfigurieren<\/h4>\n
sFlow unterscheidet sich von NetFlow dadurch, dass lediglich Stichproben (Samples) des Datenverkehrs analysiert werden. Dabei wird beispielsweise nur jedes tausendste Paket analysiert.
\nDas reduziert die Belastung der Netzwerkger\u00e4te sowie die ben\u00f6tigte Bandbreite, geht jedoch zulasten der Genauigkeit.<\/p>\n
Hier ist ein beispielhaftes Vorgehen zum Einrichten von sFlow auf einem HP Aruba 2530:<\/p>\n
1. Konfigurationsmodus aktiveren:
\n#> enable config<\/em><\/p>\n2. Collection Agent als Ziel definieren:
\nsflow 1 destination 10.10.10.109<\/em><\/p>\n3. Sampling und Interface definieren:
\nsflow 1 sampling 1-52 4096<\/em><\/p>\n4. Polling Intervall festlegen, in dem die Daten an den Kollektor geschickt werden:
\nsflow 1 polling 1-52 30<\/em><\/p>\nIn diesem Beispiel wird ungef\u00e4hr eines von 4096 Paketen analysiert und alle 30 Sekunden an den Collection Agent \u00fcbertragen.<\/p>\n
Daran wird deutlich, dass sFlow keine l\u00fcckenlose Analyse des Datenverkehrs liefert, sondern eher ein allgemeines Bild der Netzwerkkommunikation erzeugt. Je niedriger die Sampling-Rate gew\u00e4hlt wird, desto pr\u00e4ziser werden die Ergebnisse \u2013 allerdings steigt dadurch auch die Last auf den Ger\u00e4ten und dem Netzwerk. Hier sollte ein sinnvoller Mittelweg gefunden werden.<\/p>\n
Fehleranalyse und Debugging des Collection Agents<\/h3>\n
Falls sich der Collection Agent nicht erfolgreich mit der Cloud verbindet, stehen verschiedene Diagnosem\u00f6glichkeiten zur Verf\u00fcgung.<\/p>\n
Ein hilfreicher erster Schritt ist folgender Befehl:<\/p>\n
sudo \/opt\/collector\/scripts\/collectorDiagnostics.sh<\/code><\/p>\nDieses Skript zeigt unter anderem:<\/p>\n
\n- den Status der Systemfirewall<\/li>\n
- den Zustand der NetFlow- und sFlow-Dienste<\/li>\n
- die letzte Upload-Zeit<\/li>\n
- die Verbindung zur WatchGuard Cloud<\/li>\n<\/ul>\n
![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2026\/04\/2026-05-18_14h14_48.png\")
<\/p>\n
Zus\u00e4tzlich kann mit folgendem Befehl gepr\u00fcft werden, ob die ben\u00f6tigten Ports ge\u00f6ffnet sind:<\/p>\n
netstat -na<\/code><\/p>\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2026\/04\/image-2024-10-7_17-52-58.png\")
<\/p>\n
Sollten die erforderlichen Ports auf der VM freigegeben sein und dennoch Probleme auftreten, sollte gepr\u00fcft werden, ob eine weitere Firewall im Netzwerk den Traffic blockiert.<\/p>\n
Au\u00dferdem bietet der Kollektor verschiedene Logs an, die bei bei der Fehleranalyse helfen k\u00f6nnen.<\/p>\n
Diese befinden sich im Verzeichnis \/opt\/collector\/logs:
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2026\/04\/2026-05-18_14h39_14.png\")
<\/em>
\nHierbei sind die folgenden Logs in vielen F\u00e4llen die n\u00fctzlichsten:<\/p>\n\n- ndr_heartbeat.log
\n<\/strong>Enth\u00e4lt Informationen zur Verbindung und den Heartbeats zur Cloud<\/li>\n- ndr_nf_aggergator.log <\/strong>
\nZeigt, von welchen Quellen Daten empfangen werden, inklusive Anzahl der Flows<\/li>\n- ndr_s3upload.log<\/strong>
\nGibt Aufschluss dar\u00fcber, ob Daten erfolgreich in die Cloud hochgeladen wurden<\/li>\n<\/ul>\nMit diesen Werkzeugen lassen sich viele Fehlerursachen schnell eingrenzen und beheben.<\/p>\n
Fazit<\/h3>\n
Der WatchGuard ThreatSync+ Collection Agent bildet die technische Grundlage f\u00fcr die Datenerfassung f\u00fcr WatchGuard ThreatSync+ NDR mittels NetFlow und sFlow.<\/p>\n
Erst durch diese Datenbasis kann ThreatSync+ NDR den Netzwerkverkehr umfassend auswerten und Auff\u00e4lligkeiten oder potenzielle Risiken erkennen. Der Collection Agent sorgt somit in erster Linie f\u00fcr Transparenz und Sichtbarkeit innerhalb des Netzwerks, insbesondere in Bereichen, die durch klassische Firewall-Analysen nur eingeschr\u00e4nkt erfasst werden.<\/p>\n
Unternehmen schaffen damit die notwendige Grundlage f\u00fcr eine moderne Netzwerk\u00fcberwachung sowie die sp\u00e4tere Analyse durch ThreatSync+ NDR.<\/p>\n","protected":false},"excerpt":{"rendered":"
Was ist der WatchGuard ThreatSync+ Collection Agent? WatchGuard ThreatSync+ NDR ist eine cloudbasierte L\u00f6sung zur Netzwerk\u00fcberwachung und Bedrohungserkennung. Mithilfe von KI-gest\u00fctzter Analyse wird der Netzwerkverkehr kontinuierlich \u00fcberwacht, ausgewertet und \u00fcbersichtlich visualisiert. Dabei betrachtet das System nicht nur den Datenverkehr, der direkt \u00fcber die Firewall l\u00e4uft. Es unterst\u00fctzt Unternehmen auch dabei, Netzwerkbereiche sichtbar zu machen, die von der Firewall allein nicht erfasst werden k\u00f6nnen. Daf\u00fcr werden … Weiterlesen HOWTO: WatchGuard ThreatSync+ NDR Collection Agent installieren \u2013 Anleitung f\u00fcr Ubuntu, NetFlow & sFlow<\/span>
\n
<\/li>\n.run<\/code>-Datei aus Ihrer WatchGuard Cloud herunter.<\/li>\n- \u00dcbertragen Sie die Datei beispielsweise per WinSCP auf Ihre Linux-VM.<\/li>\n
- Wechseln Sie im Terminal in das entsprechende Verzeichnis und f\u00fchren Sie das Setup aus:
sudo bash 'Watchguard Agent.run'<\/code><\/li>\n- Wenn das Setup erfolgreich ausgef\u00fchrt wurde, erscheint in der Konsole die Nachricht Management Agent installation successfully completed!
\n<\/em><\/li>\n- Falls Sie die ufw (Uncomplicated Firewall) verwenden, m\u00fcssen die folgenden Ports freigegeben werden:
\nsudo ufw allow 2055\/udp<\/code>
\nsudo ufw allow 6343\/udp<\/code>
\nsudo ufw allow 514\/udp<\/code>
\nsudo ufw enable<\/code><\/li>\n- Sollte Secure Boot auf dem System aktiviert sein, folgen Sie dieser Anleitung<\/a> von WatchGuard.<\/li>\n<\/ol>\n
Nach erfolgreicher Installation l\u00e4uft der Collection Agent als Systemdienst und startet automatisch beim Booten der VM.<\/p>\n
Collection Agent in der WatchGuard Cloud hinzuf\u00fcgen<\/h3>\n
Nach der Installation muss der Collection Agent noch dem NDR-System in der WatchGuard Cloud zugewiesen werden.
\nNavigieren Sie hierzu in den Bereich Konfigurieren \u2192 ThreatSync+ Integrations \u2192 Kollektoren:<\/strong>:
\n
\nW\u00e4hlen Sie dort den installierten Collection Agent aus und speichern Sie die Konfiguration.
\nSobald sich der Agent erfolgreich mit der Cloud verbunden hat, wird der Status als Success<\/strong> angezeigt:
\n<\/p>\nHinweis: Es kann bis zu 90 Minuten dauern, bis die erste Meldung in der Cloud erfolgt.<\/p>\n
Nach erfolgreicher Verbindung arbeitet der Collection Agent automatisch im Hintergrund und \u00fcbertr\u00e4gt die gesammelten Telemetriedaten regelm\u00e4\u00dfig an die WatchGuard Cloud.<\/p>\n
Beispielkonfiguration von NetFlow und sFlow<\/h3>\n
In diesem Abschnitt werden Beispiele f\u00fcr die Konfiguration f\u00fcr NetFlow und sFlow anhand der Konfiguration einer WatchGuard Firebox und einem HP Aruba 2530 gezeigt.<\/p>\n
NetFlow auf einer WatchGuard Firebox konfigurieren<\/h4>\n
Die Firebox schickt bereits einen Teil ihrer Telemetrie direkt an die Cloud, sofern Cloud Visibility aktiviert wurde. NetFlow bietet hier jedoch noch einen tieferen Einblick in den Datenverkehr, da Informationen \u00fcber jede Netzwerkverbindung, unabh\u00e4ngig der Loggingeinstellungen auf der Firewall gesammelt werden.<\/p>\n
Um NetFlow auf einer lokal gemanageden Firebox zu aktiveren, navigieren Sie zu Setup \u2192 Netflow:
\n
\n<\/strong>Dort k\u00f6nnen Sie festlegen, welche VLANs und Interfaces ihre Daten an den Collection Agent senden sollen. So lassen sich beispielsweise G\u00e4ste-WLANs oder andere nicht relevante Netzwerksegmente gezielt ausschlie\u00dfen. Dadurch werden unn\u00f6tige Daten\u00fcbertragungen vermieden und Bandbreite eingespart.<\/p>\nsFlow auf einem HP Aruba 2530 konfigurieren<\/h4>\n
sFlow unterscheidet sich von NetFlow dadurch, dass lediglich Stichproben (Samples) des Datenverkehrs analysiert werden. Dabei wird beispielsweise nur jedes tausendste Paket analysiert.
\nDas reduziert die Belastung der Netzwerkger\u00e4te sowie die ben\u00f6tigte Bandbreite, geht jedoch zulasten der Genauigkeit.<\/p>\n
Hier ist ein beispielhaftes Vorgehen zum Einrichten von sFlow auf einem HP Aruba 2530:<\/p>\n
1. Konfigurationsmodus aktiveren:
\n#> enable config<\/em><\/p>\n2. Collection Agent als Ziel definieren:
\nsflow 1 destination 10.10.10.109<\/em><\/p>\n3. Sampling und Interface definieren:
\nsflow 1 sampling 1-52 4096<\/em><\/p>\n4. Polling Intervall festlegen, in dem die Daten an den Kollektor geschickt werden:
\nsflow 1 polling 1-52 30<\/em><\/p>\nIn diesem Beispiel wird ungef\u00e4hr eines von 4096 Paketen analysiert und alle 30 Sekunden an den Collection Agent \u00fcbertragen.<\/p>\n
Daran wird deutlich, dass sFlow keine l\u00fcckenlose Analyse des Datenverkehrs liefert, sondern eher ein allgemeines Bild der Netzwerkkommunikation erzeugt. Je niedriger die Sampling-Rate gew\u00e4hlt wird, desto pr\u00e4ziser werden die Ergebnisse \u2013 allerdings steigt dadurch auch die Last auf den Ger\u00e4ten und dem Netzwerk. Hier sollte ein sinnvoller Mittelweg gefunden werden.<\/p>\n
Fehleranalyse und Debugging des Collection Agents<\/h3>\n
Falls sich der Collection Agent nicht erfolgreich mit der Cloud verbindet, stehen verschiedene Diagnosem\u00f6glichkeiten zur Verf\u00fcgung.<\/p>\n
Ein hilfreicher erster Schritt ist folgender Befehl:<\/p>\n
sudo \/opt\/collector\/scripts\/collectorDiagnostics.sh<\/code><\/p>\nDieses Skript zeigt unter anderem:<\/p>\n
\n- den Status der Systemfirewall<\/li>\n
- den Zustand der NetFlow- und sFlow-Dienste<\/li>\n
- die letzte Upload-Zeit<\/li>\n
- die Verbindung zur WatchGuard Cloud<\/li>\n<\/ul>\n
<\/p>\n
Zus\u00e4tzlich kann mit folgendem Befehl gepr\u00fcft werden, ob die ben\u00f6tigten Ports ge\u00f6ffnet sind:<\/p>\n
netstat -na<\/code><\/p>\n<\/p>\n
Sollten die erforderlichen Ports auf der VM freigegeben sein und dennoch Probleme auftreten, sollte gepr\u00fcft werden, ob eine weitere Firewall im Netzwerk den Traffic blockiert.<\/p>\n
Au\u00dferdem bietet der Kollektor verschiedene Logs an, die bei bei der Fehleranalyse helfen k\u00f6nnen.<\/p>\n
Diese befinden sich im Verzeichnis \/opt\/collector\/logs:
\n<\/em>
\nHierbei sind die folgenden Logs in vielen F\u00e4llen die n\u00fctzlichsten:<\/p>\n\n- ndr_heartbeat.log
\n<\/strong>Enth\u00e4lt Informationen zur Verbindung und den Heartbeats zur Cloud<\/li>\n- ndr_nf_aggergator.log <\/strong>
\nZeigt, von welchen Quellen Daten empfangen werden, inklusive Anzahl der Flows<\/li>\n- ndr_s3upload.log<\/strong>
\nGibt Aufschluss dar\u00fcber, ob Daten erfolgreich in die Cloud hochgeladen wurden<\/li>\n<\/ul>\nMit diesen Werkzeugen lassen sich viele Fehlerursachen schnell eingrenzen und beheben.<\/p>\n
Fazit<\/h3>\n
Der WatchGuard ThreatSync+ Collection Agent bildet die technische Grundlage f\u00fcr die Datenerfassung f\u00fcr WatchGuard ThreatSync+ NDR mittels NetFlow und sFlow.<\/p>\n
Erst durch diese Datenbasis kann ThreatSync+ NDR den Netzwerkverkehr umfassend auswerten und Auff\u00e4lligkeiten oder potenzielle Risiken erkennen. Der Collection Agent sorgt somit in erster Linie f\u00fcr Transparenz und Sichtbarkeit innerhalb des Netzwerks, insbesondere in Bereichen, die durch klassische Firewall-Analysen nur eingeschr\u00e4nkt erfasst werden.<\/p>\n
Unternehmen schaffen damit die notwendige Grundlage f\u00fcr eine moderne Netzwerk\u00fcberwachung sowie die sp\u00e4tere Analyse durch ThreatSync+ NDR.<\/p>\n","protected":false},"excerpt":{"rendered":"
Was ist der WatchGuard ThreatSync+ Collection Agent? WatchGuard ThreatSync+ NDR ist eine cloudbasierte L\u00f6sung zur Netzwerk\u00fcberwachung und Bedrohungserkennung. Mithilfe von KI-gest\u00fctzter Analyse wird der Netzwerkverkehr kontinuierlich \u00fcberwacht, ausgewertet und \u00fcbersichtlich visualisiert. Dabei betrachtet das System nicht nur den Datenverkehr, der direkt \u00fcber die Firewall l\u00e4uft. Es unterst\u00fctzt Unternehmen auch dabei, Netzwerkbereiche sichtbar zu machen, die von der Firewall allein nicht erfasst werden k\u00f6nnen. Daf\u00fcr werden … Weiterlesen HOWTO: WatchGuard ThreatSync+ NDR Collection Agent installieren \u2013 Anleitung f\u00fcr Ubuntu, NetFlow & sFlow<\/span>