Wazuh’da Aktif Olmayan Agentleri Silme Rehberi

Wazuh, ağınızdaki istemcilerin güvenlik izleme süreçlerini yönetmenize olanak tanıyan güçlü bir SIEM ve XDR çözümüdür. Ancak, bazı agentler belirli nedenlerden dolayı bağlantısını kaybedebilir veya sisteminizden kaldırılmış olabilir. Sisteminizi temiz ve verimli tutmak için artık kullanılmayan veya bağlantısı kesilmiş agentleri Wazuh’dan kaldırmanız gerekebilir.

1. Bağlantısı Kesilmiş Agentleri Listeleme

Hangi agentlerin bağlantısının kesildiğini veya hiç bağlanmadığını görmek için şu komutu çalıştırın:

/var/ossec/bin/agent_control -l

“Never connected” olanları listelemek için:

/var/ossec/bin/agent_control -l | grep "Never connected"

“Disconnected” olanları listelemek için:

/var/ossec/bin/agent_control -l | grep "Disconnected"

2. manage_agents Kullanarak Agent Silme

/var/ossec/bin/manage_agents

Menüden “R” seçeneğini seçerek silmek istediğiniz Agent ID’sini girin ve onaylayın.

3. Komut Satırı Kullanarak Agent Silme

/var/ossec/bin/agent_control -r <Agent_ID>

Örneğin:

/var/ossec/bin/agent_control -r 020

4. API Kullanarak Agent Silme

TOKEN=$(curl -k -u wazuh:wazuh -X GET https://localhost:55000/security/user/authenticate | jq -r '.data.token')

curl -k -X DELETE "https://localhost:55000/agents/020" -H "Authorization: Bearer $TOKEN"

5. Manuel Olarak Agent Kayıtlarını Temizleme

nano /var/ossec/etc/client.keys

Silmek istediğiniz agentin satırını bulun ve silin. Son olarak:

systemctl restart wazuh-manager

Bu makalede Wazuh’da artık kullanılmayan veya bağlantısı kesilmiş agentleri kaldırmanın çeşitli yöntemlerini ele aldık. Eğer çok fazla bağlantısı kesilmiş agentiniz varsa, bunları düzenli olarak temizleyerek sistem performansınızı artırabilirsiniz.

Eğer yukarıdaki adımlarda bir hata ile karşılaşırsanız:

tail -f /var/ossec/logs/ossec.log

Sisteminizi güncel ve verimli tutmak için gereksiz agentleri temizlemeyi unutmayın! 😊