Linux

Redhat, Ubuntu 用 호스트보안 (EDR) 에이전트 삭제 방법

에이전트가 삭제되면 필터탐지, 전체로그 등에서 관련 정보가 모두 삭제됩니다.

복구가 가능하지 않으므로 신중하게 진행하여 주십시오.

1. 에이전트 UI에서 삭제

1-1. 에이전트 UI에서 삭제

/etc/plura/plura.sh uninstall

1-2. 에이전트 프로세스 확인

  • 프로세스 없으면 정상

ps -ef | grep plurad

  • 프로세스 동작 중이면

root    1234    /etc/plura/plurad -start

  • 프로세스 멈추고 다시 uninstall 실행

/etc/plura/plura.sh stop
/etc/plura/plura.sh uninstall

  • 필요 시 프로세스 강제 종료

kill -9 1234

1-3. 경로 확인

  • plura 파일 없으면 정상

ls -al /etc/plura/
ls -al /etc/cron.d/plura
ls -al /etc/logrotate/plura

1-4. 로그 경로 확인

  • 로그 파일 크기에 변화가 없으면 정상

ls -al /var/log/plura/

1-5. 감사 정책 백업 및 삭제

  • 백업

auditctl -l > paudit.txt

  • 삭제

auditctl -D

  • 복원

auditctl -R paudit.txt

2. 웹 UI에서 삭제

  • 시스템 > 시스템관리 이동

  • 호스트 선택 後 상단 "삭제" 메뉴 선택

3. 동영상

PreviousSysmonNext통합보안이벤트관리(SIEM)

Last updated