Безопасность : Cisco AMP for Endpoints

Удаление кэша FireAMP и файлов истории на Windows

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ предоставляет некоторые сценарии, которые требуют удаления файлов базы данных в FireAMP для Оконечных точек, и описывает соответствующую процедуру для удаления их при необходимости. FireAMP для Оконечных точек поддерживает запись своих обнаружений последнего файла и расположений в файлах базы данных. В определенных случаях специалист службы технической поддержки Cisco мог бы попросить, чтобы вы удалили некоторые файлы базы данных, для решения проблемы.

% Warning: Можно удалить файл базы данных только если проинструктированный технической поддержкой Cisco.

Внесенный Нэзмулом Рэджибом и Александром Дипэскуэлом, специалистами службы технической поддержки Cisco.

Файлы базы данных для кэша и истории

Цель

Файлы базы данных кэша поддерживают известные расположения для файлов. Файлы базы данных истории отслеживают все обнаружения файла FireAMP, наряду с названиями исходного файла и значениями SHA256.

Когда вы добавляете черный список к политике и обновляете разъём, поведение для данного файла сразу не изменяется. Это вызвано тем, что кэш уже определил это, файл не является злонамеренным. Также, это не будет изменено или отвергнуто вашим черным списком. Расположение изменяется, когда кэш истекается во время в вашей политике, и новый поиск выполнен - сначала против ваших списков и впоследствии против облака.

Причины для удаления

Если база данных истории и файлы базы данных кэша удалены из каталога, они воссозданы новые, когда сервис FireAMP перезапускает. В определенных случаях могло бы быть необходимо удалить эти файлы из каталога FireAMP. Например, если вы хотите протестировать простое пользовательское обнаружение или список блока приложений для данного файла.

Возможно, что база данных могла стать поврежденной, который представляет вас неспособный открыть или просмотреть обнаружения в базе данных. Также, если база данных повреждена в системе, она может вызвать ошибки в сервисе Разъёма FireAMP, такие как неспособность запустить разъём или ухудшение общей производительности системы. В этих экземплярах вы могли бы хотеть очистить файлы истории от разъёма так, чтобы можно было избежать связанных с производительностью проблема от повреждения и быть в состоянии перехватить новые журналы для диагноза.

Определите файлы базы данных

На Microsoft Windows эти файлы, как правило, располагаются в C:\Program Files\Sourcefire\fireAMP.

Название файлов базы данных кэша:

cache.db
cache.db-shm
cache.db-wal

Название файлов базы данных истории:

history.db
historyex.db
historyex.db-shm
historyex.db-wal

Этот снимок экрана показывает файлы на Windows File Explorer:

Процедура для удаления файлов базы данных

Шаг 1: Остановите сервис разъёма FireAMP

Можно остановить различные способы сервиса Разъёма FireAMP:

  • Интерфейс пользователя (UI) сервиса Разъёма FireAMP
  • Консоль Windows Services
  • Командная строка администратора

Пользовательский интерфейс

Примечание: Если вам включили защиту разъёма, необходимо использовать UI для остановки сервиса Разъёма FireAMP.

  1. Откройте UI от лотка и нажмите Settings.
  2. Перейдите к нижней части и разверните Параметры настройки Разъёма FireAMP.
  3. В Поле Password введите пароль защиты разъёма. Нажмите Stop Service.

Консоль сервисов

Примечание: Чтобы остановить и запустить сервисы в консоли Сервисов, вам нужны Администраторские привилегии.

Для остановки сервиса Разъёма FireAMP от консоли Сервисов выполните эти шаги:

  1. Перейдите к меню Пуск.
  2. Введите services.msc и нажмите Enter. Консоль Сервисов открывается.
  3. Выберите сервис Разъёма FireAMP и щелкните правой кнопкой мыши имя сервиса.
  4. Выберите Stop для остановки сервиса.

Командная строка

Для остановки сервиса Разъёма FireAMP от командной строки администратора выполните эти шаги:

  1. Перейдите к меню Пуск.
  2. Введите cmd.exe и нажмите Enter. Окно командной строки открывается.
  3. Введите сетевую остановку immunetprotect команда.

    Этот снимок экрана показывает, что пример сервиса остановился успешно:

Шаг 2: Удалите требуемые файлы базы данных

Файлы базы данных кэша

Как только сервис остановлен, можно удалить эти три файла кэша:

% Warning: Если вы не удаляете все связанные файлы базы данных кэша, это может создать кэширующиеся проблемы с воссозданной базой данных. Также, сервис мог бы быть не в состоянии запускаться, или вы могли бы испытать ухудшенную производительность от сервиса.

cache.db
cache.db-shm
cache.db-wal

Файлы базы данных истории

Как только сервис остановлен, удалите эти файлы базы данных истории:

% Warning: Если вы не удаляете все связанные файлы базы данных истории, это может создать кэширующиеся проблемы с воссозданной базой данных. Также, сервис мог бы быть не в состоянии запускаться, или вы могли бы испытать ухудшенную производительность от сервиса.

history.db
historyex.db
historyex.db-shm
historyex.db-wal

Шаг 3: Запустите сервис разъёма FireAMP

Для начала сервиса Разъёма FireAMP выполните эти шаги:

  1. Перейдите к меню Пуск.
  2. Введите services.msc и нажмите Enter. Консоль Сервисов открывается.
  3. Выберите сервис Разъёма FireAMP и щелкните правой кнопкой мыши имя сервиса.
  4. Выберите Start для начала сервиса.

    Также на командной строке Администратора можно ввести сетевой запуск immunetprotect команда.

    Этот снимок экрана показывает, что пример сервиса запустился успешно:

    После перезапуска сервисов, новый набор файлов базы данных создан. Это должно теперь предоставить вам новый экземпляр Разъёма FireAMP с текущими белыми списками, черными списками, исключениями, и так далее.



Document ID: 118565