Windows에서 FireAMP 캐시 및 기록 파일 제거

다운로드 옵션

PDF (653.9 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (621.5 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (525.9 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2017년 3월 21일

문서 ID:118565

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 FireAMP for Endpoints에서 데이터베이스 파일을 제거해야 하는 몇 가지 시나리오를 제공하며 필요한 경우 해당 파일을 제거하는 적절한 절차에 대해 설명합니다.FireAMP for Endpoints는 데이터베이스 파일의 최근 파일 탐지 및 성향 레코드를 유지 관리합니다.경우에 따라 Cisco 지원 엔지니어가 문제를 해결하기 위해 데이터베이스 파일 중 일부를 제거하도록 요청할 수 있습니다.

경고:Cisco 기술 지원에서 지시한 경우에만 데이터베이스 파일을 제거할 수 있습니다.

캐시 및 기록용 데이터베이스 파일

목적

캐시 데이터베이스 파일은 파일의 알려진 속성을 유지합니다.기록 데이터베이스 파일은 소스 파일 이름 및 SHA256 값과 함께 모든 FireAMP 파일 탐지를 추적합니다.

정책에 차단 목록을 추가하고 커넥터를 업데이트할 때 지정된 파일의 동작은 즉시 변경되지 않습니다.파일이 악성이 아님을 캐시에서 이미 식별했기 때문입니다.따라서 차단 목록에 의해 변경되거나 재정의되지 않습니다.정책은 정책에 있는 시간 당 캐시가 만료되고 새 조회가 수행될 때 성향이 변경됩니다. 먼저 목록에 대해, 그리고 이후에 클라우드에 대해 수행됩니다.

제거 이유

기록 데이터베이스 및 캐시 데이터베이스 파일이 디렉토리에서 제거되면 FireAMP 서비스가 다시 시작될 때 새로 생성됩니다.FireAMP 디렉토리에서 이러한 파일을 제거해야 하는 경우도 있습니다.예를 들어, 지정된 파일에 대해 간단한 맞춤형 탐지 또는 애플리케이션 차단 목록을 테스트하려는 경우

데이터베이스가 손상되어 데이터베이스에서 탐지를 열거나 볼 수 없습니다.또는 시스템에서 데이터베이스가 손상된 경우 커넥터를 시작할 수 없거나 전체 시스템 성능이 저하되는 등 FireAMP Connector 서비스 내에서 오류가 발생할 수 있습니다.이러한 경우 성능 관련 문제가 손상되는 것을 방지하고 진단을 위해 새 로그를 캡처할 수 있도록 커넥터에서 기록 파일을 지울 수 있습니다.

데이터베이스 파일 식별

Microsoft Windows에서 이러한 파일은 일반적으로 C:\Program Files\Sourcefire\fireAMP or C:\Program Files\Cisco\AMP에 있습니다.

캐시 데이터베이스 파일의 이름은 다음과 같습니다.

cache.db
cache.db-shm
cache.db-wal

기록 데이터베이스 파일의 이름은 다음과 같습니다.

history.db
historyex.db
historyex.db-shm
historyex.db-wal

이 스크린샷은 Windows 파일 탐색기의 파일을 보여줍니다.

데이터베이스 파일 제거 절차

1단계:FireAMP Connector 서비스 중지

다음과 같은 다양한 방법으로 FireAMP Connector 서비스를 중지할 수 있습니다.

FireAMP Connector 서비스의 UI(사용자 인터페이스)
Windows 서비스 콘솔
관리자의 명령 프롬프트

사용자 인터페이스

참고:커넥터 보호가 활성화된 경우 FireAMP Connector 서비스를 중지하려면 UI를 사용해야 합니다.

트레이에서 UI를 열고 설정을 클릭합니다.
아래로 스크롤하여 FireAMP Connector Settings(FireAMP 커넥터 설정)를 확장합니다.
Password 필드에 커넥터 보호 비밀번호를 입력합니다.Stop Service를 클릭합니다.

서비스 콘솔

참고:서비스 콘솔에서 서비스를 중지하고 시작하려면 관리자 권한이 필요합니다.

서비스 콘솔에서 FireAMP Connector 서비스를 중지하려면 다음 단계를 완료하십시오.

시작 메뉴로 이동합니다.
services.msc를 입력하고 Enter 키를 누릅니다.서비스 콘솔이 열립니다.
FireAMP Connector 서비스를 선택하고 서비스 이름을 마우스 오른쪽 버튼으로 클릭합니다.
서비스를 중지하려면 중지를 선택합니다.

명령 프롬프트

관리자의 명령 프롬프트에서 FireAMP Connector 서비스를 중지하려면 다음 단계를 완료하십시오.

시작 메뉴로 이동합니다.
cmd.exe를 입력하고 Enter를 누릅니다.명령 프롬프트 창이 열립니다.
net stop immunetprotect 명령을 입력합니다.버전 5.0.1 이상이 있는 경우 "name like 'immunetprotect%'" call startservice 명령 대신 wmic 서비스를 입력합니다.
이 스크린샷은 성공적으로 중지된 서비스의 예를 보여줍니다.

2단계:필요한 데이터베이스 파일 삭제

데이터베이스 파일 캐시

서비스가 중지되면 다음 세 개의 캐시 파일을 삭제할 수 있습니다.

경고:모든 관련 캐시 데이터베이스 파일을 삭제하지 않으면 다시 만든 데이터베이스에 캐싱 문제를 만들 수 있습니다.따라서 서비스가 시작되지 않거나 서비스에서 성능이 저하될 수 있습니다.

cache.db
cache.db-shm
cache.db-wal

기록 데이터베이스 파일

서비스가 중지되면 다음 기록 데이터베이스 파일을 제거합니다.

경고:관련 기록 데이터베이스 파일을 모두 삭제하지 않으면 다시 만든 데이터베이스에 캐싱 문제를 만들 수 있습니다.따라서 서비스가 시작되지 않거나 서비스에서 성능이 저하될 수 있습니다.

history.db
historyex.db
historyex.db-shm
historyex.db-wal

3단계:FireAMP Connector 서비스 시작

FireAMP Connector 서비스를 시작하려면 다음 단계를 완료하십시오.

시작 메뉴로 이동합니다.
services.msc를 입력하고 Enter 키를 누릅니다.서비스 콘솔이 열립니다.
FireAMP Connector 서비스를 선택하고 서비스 이름을 마우스 오른쪽 버튼으로 클릭합니다.
서비스를 시작하려면 시작을 선택합니다.

또는 관리자의 명령 프롬프트에서 net start immunetprotect 명령을 입력할 수 있습니다.버전 5.0.1 이상이 있는 경우 "name like 'immunetprotect%'" call startservice 명령 대신 wmic 서비스를 입력합니다.

이 스크린샷은 성공적으로 시작된 서비스의 예를 보여줍니다.

서비스를 다시 시작하면 새 데이터베이스 파일 집합이 만들어집니다.이제 FireAMP Connector의 새로운 인스턴스를 최신 화이트리스트, 차단 목록, 제외 등과 함께 제공합니다.

Cisco 엔지니어가 작성

Nazmul Rajib
Cisco TAC 엔지니어
Alexander Dipasquale
Cisco TAC 엔지니어

이 문서가 도움이 되셨습니까?

피드백

지원 문의

지원 케이스 접수
(시스코 서비스 계약 필요)