セキュリティ : Cisco AMP for Endpoints

Windows の FireAMP キャッシュおよび活動記録 ファイルの削除

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は必要なときエンドポイントのために FireAMP のデータベース ファイルの削除を必要とする提供し、それらを取除くために適切な手順を記述したものですいくつかのシナリオを。 エンドポイントのための FireAMP はデータベース ファイルの最近のファイル 検出および開封のレコードを維持します。 ある特定の場合、Ciscoサポート エンジニアは問題を解決するためにいくつかのデータベース ファイルを取除くために頼むかもしれません。

警告: Cisco テクニカル サポートによって指示された場合だけデータベース ファイルを取除くことができます。

Nazmul Rajib およびアレキサンダー Dipasquale によって貢献される、Cisco TAC エンジニア。

キャッシュおよび履歴のためのデータベース ファイル

目的

キャッシュ データベース ファイルはファイルのための既知 開封を維持します。 履歴データベース ファイルは原始ファイル名前および SHA256 値と共に FireAMP ファイル 検出すべてを、トラッキングします。

ポリシーにブロック リストを追加し、コネクタをアップデートするとき、指定されたファイルのための動作はすぐに変化しません。 これはファイルは悪意のないことキャッシュが既に識別してしまったという理由によります。 そのように、それはブロック リストによって変更されませんし、無効になりません。 開封はキャッシュがポリシーの時間ごとに期限切れであり、新しいルックアップが実行されたと-最初に変更しますリストと続いてクラウドに対して。

削除のための原因

履歴データベースおよびキャッシュ データベース ファイルがディレクトリから取除かれる場合、FireAMP サービスが再起動するとき作り直された新しいです。 ある特定の場合 FireAMP ディレクトリからこれらのファイルを取除くことは必要であるかもしれません。 たとえば、指定されたファイルのために簡単なカスタム検出かアプリケーション ブロック リストをテストしたいと思う場合。

データベースの検出を開くか、または表示することが不可能するデータベースが破損するようになる可能性があることは可能性のあるです。 またデータベースがシステムで破損していれば、により全体的な システム パフォーマンスのコネクタか劣化を開始する不可能のような FireAMP コネクタ サービス内のエラーを引き起こす場合があります。 これらの例で診断のための新しいログをキャプチャ できる 破損からのパフォーマンスに関連する問題を避け、ようにコネクタからの活動記録 ファイルをクリアしたいと思うかもしれません。

データベース ファイルを識別して下さい

Microsoft Windows で、これらのファイルは C:\Program Files\Sourcefire\fireAMP に一般的にあります。

キャッシュ データベース ファイルの名前は次のとおりです:

cache.db
cache.db-shm
cache.db-wal

履歴データベース ファイルの名前は次のとおりです:

history.db
historyex.db
historyex.db-shm
historyex.db-wal

このスクリーン ショットは Windows ファイル エクスプローラーのファイルを表示します:

データベース ファイルを取除くプロシージャ

ステップ 1: FireAMP コネクタ サービスを停止して下さい

FireAMP コネクタ サービスさまざまな方法を停止できます:

  • FireAMP コネクタ サービスのユーザインターフェイス(UI)
  • Windows サービス コンソール
  • 管理者のコマンド プロンプト

ユーザ インターフェイス

: 持っていればコネクタ 保護は FireAMP コネクタ サービスを停止するために UI を使用する必要があります有効に しました。

  1. トレイからの UI を開き、『Settings』 をクリック して下さい。
  2. 下部のにスクロールし、FireAMP コネクタ設定を拡張して下さい。
  3. Password フィールドでは、コネクタ 保護 パスワードを入力して下さい。 『Stop Service』 をクリック して下さい。

サービス コンソール

: サービス コンソールのサービスを開始するために停止し、アドミニストレーター特権を必要とします。

FireAMP コネクタ サービスをサービス コンソールから停止するために、これらのステップを完了して下さい:

  1. Start メニューへのナビゲート。
  2. services.msc を入力し、『Enter』 を押して下さい サービス コンソールは開きます。
  3. FireAMP コネクタ サービスを選択し、サービス名を右クリックして下さい。
  4. サービスを停止するために『Stop』 を選択 して下さい。

コマンド プロンプト

FireAMP コネクタ サービスを管理者のコマンド プロンプトから停止するために、これらのステップを完了して下さい:

  1. Start メニューへのナビゲート。
  2. cmd.exe を入力し、『Enter』 を押して下さい コマンドプロンプトウィンドウは開きます。
  3. net stop immunetprotect コマンドを入力して下さい。

    このスクリーン ショットは正常に停止するサービスの例を示します:

ステップ 2: 必須データベース ファイルを削除して下さい

データベース ファイルをキャッシュして下さい

サービスが停止すればこの 3 つのキャッシュファイルを削除できます:

警告: 関連キャッシュ データベース ファイルすべてを削除しなければそれは再び作成されたデータベースでキャッシング問題を作成できます。 そのように、サービスは開始しないためにかもしれませんまたはサービスからの低下した パフォーマンスを体験するかもしれません。

cache.db
cache.db-shm
cache.db-wal

履歴データベース ファイル

サービスが停止したら、これらの履歴データベース ファイルを取除いて下さい:

警告: 関連履歴データベース ファイルすべてを削除しなければそれは再び作成されたデータベースでキャッシング問題を作成できます。 そのように、サービスは開始しないためにかもしれませんまたはサービスからの低下した パフォーマンスを体験するかもしれません。

history.db
historyex.db
historyex.db-shm
historyex.db-wal

ステップ 3: FireAMP コネクタ サービスを開始して下さい

FireAMP コネクタ サービスを開始するために、これらのステップを完了して下さい:

  1. Start メニューへのナビゲート。
  2. services.msc を入力し、『Enter』 を押して下さい サービス コンソールは開きます。
  3. FireAMP コネクタ サービスを選択し、サービス名を右クリックして下さい。
  4. サービスを開始するために『Start』 を選択 して下さい。

    また、管理者のコマンド プロンプトで net start immunetprotect コマンドを入力できます。

    首尾よく開始するこのスクリーン ショットはサービスの例を示します:

    サービスを再開した後新しい一組のデータベース ファイルは作成されます。 これは現在の白いリストが付いている FireAMP コネクタの新しい例を除外、等今、ブロック リスト与える、必要があります。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118565