Linux

Redhat、Ubuntu用ホストセキュリティ(EDR)エージェントの削除方法

エージェントが削除されると、フィルター探知、全体ログなどから関連情報がすべて削除されます。

復旧ができませんので、慎重に進めてください。

1. エージェントUIから削除

1-1. エージェントUIから削除

/etc/plura/plura.sh uninstall

1-2. エージェントプロセスの確認

  • プロセスがなければ正常

ps -ef | grep plurad

  • プロセス動作中であれば

root    1234    /etc/plura/plurad -start

  • プロセスを止めて、もう一度uninstall実行

/etc/plura/plura.sh stop
/etc/plura/plura.sh uninstall

  • 必要に応じてプロセスを強制終了

kill -9 1234

1-3. 経路確認

  • plura ファイルがなければ正常

ls -al /etc/plura/
ls -al /etc/cron.d/plura
ls -al /etc/logrotate/plura

1-4. 対数経路確認

  • ログ ファイル サイズに変化がなければ正常

ls -al /var/log/plura/

1-5. 監査ポリシーのバックアップおよび削除

  • バックアップ.

auditctl -l > paudit.txt

  • 削除

auditctl -D

  • 復元

auditctl -R paudit.txt

2. ウェブUIから削除

  • システム > システム管理の移動

  • ホスト選択後、上段の"削除"メニュー選択

3. 動画

PreviousSysmonNext統合セキュリティイベント管理(SIEM)

Last updated