Удаление Wazuh 4.14 - пошаговое руководство
Данное руководство описывает процедуру корректного удаления компонентов Wazuh 4.14. Удаление может быть частичным (только пакеты) или полным (пакеты + данные + конфигурация). Порядок удаления: сначала агенты, затем дашборд, сервер и индексатор.
Удаление установки через assisted installer
Если Wazuh был установлен с помощью скрипта wazuh-install.sh (all-in-one), используйте встроенную команду удаления:
sudo bash ./wazuh-install.sh -uЭта команда удалит все центральные компоненты и очистит конфигурацию. Для ручного удаления отдельных компонентов используйте инструкции ниже.
Удаление Wazuh Agent
Linux (DEB - Ubuntu/Debian)
Остановка службы:
systemctl stop wazuh-agent
systemctl disable wazuh-agentУдаление пакета (сохранение конфигурации):
apt-get remove wazuh-agentПолное удаление (пакет + конфигурация):
apt-get purge wazuh-agentОчистка оставшихся файлов:
rm -rf /var/ossec
rm -f /etc/apt/sources.list.d/wazuh.list
rm -f /usr/share/keyrings/wazuh.gpgLinux (RPM - CentOS/RHEL)
Остановка службы:
systemctl stop wazuh-agent
systemctl disable wazuh-agentУдаление пакета:
yum remove wazuh-agent # CentOS/RHEL 8 и ранее
dnf remove wazuh-agent # RHEL 9+ / CentOS Stream 10Очистка оставшихся файлов:
rm -rf /var/ossec
rm -f /etc/yum.repos.d/wazuh.repoWindows
Остановка службы:
NET STOP WazuhSvcУдаление через командную строку (тихое):
msiexec /x wazuh-agent-4.14.4-1.msi /qИли через Панель управления: Программы и компоненты - Wazuh Agent - Удалить.
Очистка оставшихся файлов:
Remove-Item -Recurse -Force "C:\Program Files (x86)\ossec-agent"macOS
Остановка службы:
sudo launchctl bootout system /Library/LaunchDaemons/com.wazuh.agent.plistУдаление файлов:
sudo rm -rf /Library/Ossec
sudo rm -f /Library/LaunchDaemons/com.wazuh.agent.plist
sudo rm -rf /Library/StartupItems/WAZUHУдаление записи из pkgutil:
sudo pkgutil --forget com.wazuh.agentУдаление Wazuh Dashboard
Ubuntu / Debian
Остановка службы:
systemctl stop wazuh-dashboard
systemctl disable wazuh-dashboardУдаление пакета:
apt-get remove wazuh-dashboardПолное удаление:
apt-get purge wazuh-dashboardОчистка оставшихся файлов:
rm -rf /etc/wazuh-dashboard
rm -rf /usr/share/wazuh-dashboard
rm -rf /var/log/wazuh-dashboardCentOS / RHEL
Остановка службы:
systemctl stop wazuh-dashboard
systemctl disable wazuh-dashboardУдаление пакета:
yum remove wazuh-dashboard # RHEL 8 и ранее
dnf remove wazuh-dashboard # RHEL 9+Очистка оставшихся файлов:
rm -rf /etc/wazuh-dashboard
rm -rf /usr/share/wazuh-dashboard
rm -rf /var/log/wazuh-dashboardУдаление Wazuh Server (Manager + Filebeat)
Ubuntu / Debian
Остановка служб:
systemctl stop filebeat
systemctl stop wazuh-manager
systemctl disable filebeat
systemctl disable wazuh-managerУдаление пакетов:
apt-get remove wazuh-manager filebeatПолное удаление:
apt-get purge wazuh-manager filebeatОчистка оставшихся файлов:
rm -rf /var/ossec
rm -rf /etc/filebeat
rm -rf /var/lib/filebeat
rm -rf /usr/share/filebeatCentOS / RHEL
Остановка служб:
systemctl stop filebeat
systemctl stop wazuh-manager
systemctl disable filebeat
systemctl disable wazuh-managerУдаление пакетов:
yum remove wazuh-manager filebeat # RHEL 8 и ранее
dnf remove wazuh-manager filebeat # RHEL 9+Очистка оставшихся файлов:
rm -rf /var/ossec
rm -rf /etc/filebeat
rm -rf /var/lib/filebeat
rm -rf /usr/share/filebeatУдаление Wazuh Indexer
Ubuntu / Debian
Остановка службы:
systemctl stop wazuh-indexer
systemctl disable wazuh-indexerУдаление пакета:
apt-get remove wazuh-indexerПолное удаление:
apt-get purge wazuh-indexerОчистка оставшихся файлов (включая данные индексов):
rm -rf /etc/wazuh-indexer
rm -rf /var/lib/wazuh-indexer
rm -rf /usr/share/wazuh-indexer
rm -rf /var/log/wazuh-indexerCentOS / RHEL
Остановка службы:
systemctl stop wazuh-indexer
systemctl disable wazuh-indexerУдаление пакета:
yum remove wazuh-indexer # RHEL 8 и ранее
dnf remove wazuh-indexer # RHEL 9+Очистка оставшихся файлов:
rm -rf /etc/wazuh-indexer
rm -rf /var/lib/wazuh-indexer
rm -rf /usr/share/wazuh-indexer
rm -rf /var/log/wazuh-indexerОчистка репозитория
После удаления всех компонентов удалите репозиторий Wazuh:
Ubuntu / Debian
rm -f /etc/apt/sources.list.d/wazuh.list
rm -f /usr/share/keyrings/wazuh.gpg
apt-get updateCentOS / RHEL
rm -f /etc/yum.repos.d/wazuh.repoОчистка сертификатов
Удалите архив сертификатов и сгенерированные файлы:
rm -f ./wazuh-certificates.tar
rm -f ./wazuh-install-files.tar
rm -rf ./wazuh-certificatesУдаление пользователей и групп
После полной деинсталляции можно удалить системных пользователей и группы:
userdel wazuh
groupdel wazuh
userdel wazuh-indexer
groupdel wazuh-indexer
userdel wazuh-dashboard
groupdel wazuh-dashboardЧастичное удаление
Удаление только данных (сохранение конфигурации)
Для очистки данных индексатора без удаления компонентов:
systemctl stop wazuh-indexer
rm -rf /var/lib/wazuh-indexer/nodes
systemctl start wazuh-indexer
/usr/share/wazuh-indexer/bin/indexer-security-init.shУдаление конкретных индексов
Для удаления только данных оповещений через API:
curl -k -u admin:<ADMIN_PASSWORD> \
-X DELETE "https://localhost:9200/wazuh-alerts-*"Для удаления данных за определенный период:
curl -k -u admin:<ADMIN_PASSWORD> \
-X DELETE "https://localhost:9200/wazuh-alerts-4.x-2025.01.*"Проверка удаления
После удаления убедитесь, что все компоненты полностью удалены:
# Проверка отсутствия пакетов
dpkg -l | grep wazuh # Ubuntu/Debian
rpm -qa | grep wazuh # CentOS/RHEL
# Проверка отсутствия служб
systemctl list-units | grep wazuh
# Проверка отсутствия процессов
ps aux | grep -E "wazuh|ossec" | grep -v grep
# Проверка освобождения портов
ss -tlnp | grep -E "1514|1515|9200|443|55000"Дальнейшие шаги
- Быстрый старт - повторная установка Wazuh
- Обзор установки - выбор модели развертывания для новой установки