Segurança : Cisco AMP for Endpoints

Remoção do esconderijo e dos arquivos históricos de FireAMP em Windows

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento fornece algumas encenações que exigem uma remoção dos arquivos da base de dados em FireAMP para valores-limite e descreve um procedimento apropriado para removê-los quando necessário. O FireAMP para valores-limite mantém um registro de suas detecções e disposições do arquivo recente nos arquivos da base de dados. Em certos casos, um engenheiro de suporte da Cisco pôde pedir que você remova alguns dos arquivos da base de dados a fim pesquisar defeitos uma edição.

aviso: Você pode remover um arquivo da base de dados somente se instruído pelo Suporte técnico de Cisco.

Contribuído por Nazmul Rajib e por Alexander Dipasquale, engenheiros de TAC da Cisco.

Arquivos da base de dados para o esconderijo e a história

Propósito

Os arquivos da base de dados do esconderijo mantêm as disposições conhecidas para arquivos. Os arquivos da base de dados de história seguem todas as detecções do arquivo de FireAMP, junto com nomes do arquivo de origem e valores SHA256.

Quando você adiciona uma lista do bloco a uma política e atualiza o conector, o comportamento para um arquivo dado não muda imediatamente. Isto é porque o esconderijo tem identificado já que o arquivo não é malicioso. Como tal, não será mudado nem será cancelado por sua lista do bloco. A disposição muda quando o esconderijo está expirado pelo tempo em sua política e uma consulta nova está executada - primeiramente contra suas lista e subseqüentemente contra a nuvem.

Razões para a remoção

Se os arquivos da base de dados do banco de dados e do esconderijo da história são removidos de um diretório, são frescos recreado quando o serviço de FireAMP reinicia. Em certos casos pôde ser necessário remover estes arquivos do diretório de FireAMP. Por exemplo, se você quer testar uma detecção feita sob encomenda simples ou uma lista do bloco do aplicativo para um arquivo dado.

É possível que um banco de dados poderia se tornar corrompido, que o torne incapaz de abrir ou ver as detecções em um banco de dados. Alternativamente, se o banco de dados é corrompido em um sistema pode causar erros dentro do serviço do conector de FireAMP tal como a incapacidade começar o conector ou a degradação do desempenho de sistema total. Nestes exemplos você pôde querer cancelar os arquivos históricos do conector de modo que você pudesse evitar questões relacionadas ao desempenho da corrupção e poder capturar logs novos para o diagnóstico.

Identifique os arquivos da base de dados

Em Microsoft Windows, estes arquivos são ficados tipicamente em C:\Program Files\Sourcefire\fireAMP.

O nome dos arquivos da base de dados do esconderijo é:

cache.db
cache.db-shm
cache.db-wal

O nome dos arquivos da base de dados da história é:

history.db
historyex.db
historyex.db-shm
historyex.db-wal

Este tiro de tela mostra os arquivos no explorador do arquivo de Windows:

Procedimento para remover os arquivos da base de dados

Passo 1: Pare o serviço do conector de FireAMP

Você pode parar maneiras do serviço do conector de FireAMP as várias:

  • Interface do utilizador (UI) do serviço do conector de FireAMP
  • Console de serviços de Windows
  • O comando prompt do administrador

Interface de usuário

Nota: Se você tem a proteção do conector permitiu-o deve usar o UI a fim parar o serviço do conector de FireAMP.

  1. Abra o UI da bandeja e clique ajustes.
  2. O rolo à parte inferior e expande ajustes do conector de FireAMP.
  3. No campo de senha, incorpore a senha da proteção do conector. Clique o serviço da parada.

Console de serviços

Nota: A fim parar e enfiar serviços no console de serviços você precisa privilégios do administrado.

A fim parar o serviço do conector de FireAMP do console de serviços, termine estas etapas:

  1. Navegue ao menu de início.
  2. Incorpore services.msc e pressione-o entram. O console de serviços abre.
  3. Selecione o serviço do conector de FireAMP e clicar com o botão direito o nome do serviço.
  4. Escolha a parada a fim parar o serviço.

Comando prompt

A fim parar o serviço do conector de FireAMP do comando prompt de um administrador, termine estas etapas:

  1. Navegue ao menu de início.
  2. Incorpore cmd.exe e pressione-o entram. A janela imediata do comando A abre.
  3. Incorpore o comando líquido do immunetprotect da parada.

    Este tiro de tela mostra um exemplo do serviço parado com sucesso:

Passo 2: Suprima dos arquivos da base de dados exigidos

Põe em esconderijo arquivos da base de dados

Uma vez que o serviço é parado você pode suprimir destes três arquivos de cache:

aviso: Se você não suprime de todos os arquivos da base de dados relacionados do esconderijo pode criar pôr em esconderijo edições com o banco de dados recreado. Como tal, o serviço pôde não começa ou você pôde experimentar o desempenho degradado do serviço.

cache.db
cache.db-shm
cache.db-wal

Arquivos da base de dados da história

Uma vez que o serviço é parado, remova estes arquivos da base de dados da história:

aviso: Se você não suprime de todos os arquivos da base de dados relacionados da história pode criar pôr em esconderijo edições com o banco de dados recreado. Como tal, o serviço pôde não começa ou você pôde experimentar o desempenho degradado do serviço.

history.db
historyex.db
historyex.db-shm
historyex.db-wal

Passo 3: Comece o serviço do conector de FireAMP

A fim começar o serviço do conector de FireAMP, termine estas etapas:

  1. Navegue ao menu de início.
  2. Incorpore services.msc e pressione-o entram. O console de serviços abre.
  3. Escolha o serviço do conector de FireAMP e clicar com o botão direito o nome do serviço.
  4. Escolha o começo a fim começar o serviço.

    Alternativamente, no comando prompt do administrador você pode incorporar o comando líquido do immunetprotect do começo.

    Este tiro de tela mostra um exemplo do serviço começado com sucesso:

    Depois que você reinicia os serviços um grupo novo de arquivos da base de dados está criado. Isto deve agora fornecê-lo um exemplo fresco do conector de FireAMP com lista brancas atuais, lista do bloco, exclusões, e assim por diante.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118565