Безопасность : Cisco AMP for Endpoints

Удаление кэша FireAMP и файлов истории на Windows

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ предоставляет некоторые сценарии, которые требуют удаления файлов базы данных в FireAMP для Оконечных точек, и описывает соответствующую процедуру для удаления их при необходимости. FireAMP для Оконечных точек поддерживает запись своих обнаружений последнего файла и расположений в файлах базы данных. В определенных случаях специалист службы технической поддержки Cisco мог бы попросить, чтобы вы удалили некоторые файлы базы данных, для решения проблемы.

warningПредупреждение: Можно удалить файл базы данных только если проинструктированный технической поддержкой Cisco.

Внесенный Нэзмулом Рэджибом и Александром Дипэскуэлом, специалистами службы технической поддержки Cisco.

Файлы базы данных для кэша и истории

Цель

Файлы базы данных кэша поддерживают известные расположения для файлов. Файлы базы данных истории отслеживают все обнаружения файла FireAMP, вместе с названиями исходного файла и значениями SHA256.

Когда вы добавляете черный список к политике и обновляете разъём, поведение для данного файла сразу не изменяется. Это вызвано тем, что кэш уже определил это, файл не является злонамеренным. Также, это не будет изменено или отвергнуто черным списком. Расположение изменяется, когда кэш истекается во время в политике, и новый поиск выполнен - сначала против списков и впоследствии против облака.

Причины для удаления

Если база данных истории и файлы базы данных кэша удалены из каталога, они воссозданы новые, когда сервис FireAMP перезапускает. В определенных случаях могло бы быть необходимо удалить эти файлы из каталога FireAMP. Например, если вы хотите протестировать простое пользовательское обнаружение или список блока приложений для данного файла.

Возможно, что база данных могла стать поврежденной, который представляет вас неспособный открыть или просмотреть обнаружения в базе данных. Также, если база данных повреждена в системе, она может вызвать ошибки в сервисе Разъёма FireAMP, такие как неспособность запустить разъём или ухудшение общей производительности системы. В этих экземплярах вы могли бы хотеть очистить файлы истории от разъёма так, чтобы можно было избежать связанных с производительностью проблема от повреждения и быть в состоянии перехватить новые журналы для диагноза.

Определите файлы базы данных

На Microsoft Windows эти файлы, как правило, располагаются в C:\Program Files\Sourcefire\fireAMP.

Название файлов базы данных кэша:

cache.db
cache.db-shm
cache.db-wal

Название файлов базы данных истории:

history.db
historyex.db
historyex.db-shm
historyex.db-wal

Этот снимок экрана показывает файлы на Windows File Explorer:

Процедура для удаления файлов базы данных

Шаг 1: Остановите сервис разъёма FireAMP

Можно остановить различные способы сервиса Разъёма FireAMP:

  • Интерфейс пользователя (UI) сервиса Разъёма FireAMP
  • Консоль Windows Services
  • Командная строка администратора

Пользовательский интерфейс

Примечание: Если вам включили защиту разъёма, необходимо использовать UI для остановки сервиса Разъёма FireAMP.

  1. Откройте UI от лотка и нажмите Settings.
  2. Перейдите к нижней части и разверните Параметры настройки Разъёма FireAMP.
  3. В поле Password введите пароль защиты разъёма. Нажмите Stop Service.

Консоль сервисов

Примечание: Чтобы остановить и запустить сервисы в консоли Сервисов, вы требуете Администраторских привилегий.

Для остановки сервиса Разъёма FireAMP от консоли Сервисов выполните эти шаги:

  1. Перейдите к меню Пуск.
  2. Введите services.msc и нажмите Enter. Консоль Сервисов открывается.
  3. Выберите сервис Разъёма FireAMP и щелкните правой кнопкой мыши по имени сервиса.
  4. Выберите Stop для остановки сервиса.

Командная строка

Для остановки сервиса Разъёма FireAMP от командной строки администратора выполните эти шаги:

  1. Перейдите к меню Пуск.
  2. Введите cmd.exe и нажмите Enter. Окно командной строки открывается.
  3. Введите чистую остановку immunetprotect команда.

    Этот снимок экрана показывает, что пример сервиса остановился успешно:

Шаг 2 ---- -------------------------------- --------- : Удалите требуемые файлы базы данных

Файлы базы данных кэша

Как только сервис остановлен, можно удалить эти три файла кэша:

warningПредупреждение: Если вы не удаляете все связанные файлы базы данных кэша, это может создать кэширующиеся проблемы с воссозданной базой данных. Также, сервис мог бы быть не в состоянии запускаться, или вы могли бы испытать ухудшенную производительность от сервиса.

cache.db
cache.db-shm
cache.db-wal

Файлы базы данных истории

Как только сервис остановлен, удалите эти файлы базы данных истории:

warningПредупреждение: Если вы не удаляете все связанные файлы базы данных истории, это может создать кэширующиеся проблемы с воссозданной базой данных. Также, сервис мог бы быть не в состоянии запускаться, или вы могли бы испытать ухудшенную производительность от сервиса.

history.db
historyex.db
historyex.db-shm
historyex.db-wal

Шаг 3: Запустите сервис разъёма FireAMP

Для начала сервиса Разъёма FireAMP выполните эти шаги:

  1. Перейдите к меню Пуск.
  2. Введите services.msc и нажмите Enter. Консоль Сервисов открывается.
  3. Выберите сервис Разъёма FireAMP и щелкните правой кнопкой мыши по имени сервиса.
  4. Выберите Start для начала сервиса.

    Также на командной строке Администратора можно ввести чистый запуск immunetprotect команда.

    Этот снимок экрана показывает, что пример сервиса запустился успешно:

    После перезапуска сервисов, новый набор файлов базы данных создан. Это должно теперь предоставить вас новым экземпляром Разъёма FireAMP с текущими белыми списками, черными списками, исключениями, и т.д.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.