Verwijdering van de FireAMP-cache en geschiedenisbestanden op Windows

Downloadopties

  • PDF     (760.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:21 maart 2017
Document-id:118565

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriƫntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document bevat enkele scenario's die vereisen dat databasebestanden in FireAMP voor Eindpunten worden verwijderd en beschrijft een juiste procedure om ze indien nodig te verwijderen. De FireAMP voor Eindpunten houdt een record van de recente bestandsdetecties en disposities in databasebestanden. In bepaalde gevallen kan een Cisco Support Engineer u vragen om een aantal van de databasebestanden te verwijderen om een probleem op te lossen.

Waarschuwing: u kunt een databasebestand alleen verwijderen als u hiervoor instructies hebt gekregen van de technische ondersteuning van Cisco.

Databasebestanden voor cache en geschiedenis

Doel

De cachedatabasebestanden behouden de bekende disposities voor bestanden. De geschiedenisdatabasebestanden volgen alle FireAMP-bestandsdetecties, samen met bronbestandsnamen en SHA256-waarden.

Wanneer u een blokkeringslijst aan een beleid toevoegt en de connector bijwerkt, verandert het gedrag voor een bepaald bestand niet onmiddellijk. De cache heeft namelijk al vastgesteld dat het bestand niet kwaadaardig is. Als zodanig wordt het niet gewijzigd of overschreven door uw blokkeringslijst. De dispositie verandert wanneer de cache is verlopen per de tijd in uw beleid en een nieuwe zoekopdracht wordt uitgevoerd - eerst tegen uw lijsten en vervolgens tegen de cloud.

Redenen voor verwijdering

Als de geschiedenisdatabase- en cachedatabasebestanden uit een directory worden verwijderd, worden ze opnieuw gemaakt wanneer de FireAMP-service opnieuw wordt gestart. In bepaalde gevallen kan het nodig zijn om deze bestanden uit de FireAMP-directory te verwijderen. Als u bijvoorbeeld een eenvoudige aangepaste detectie of een lijst met toepassingsblokken voor een bepaald bestand wilt testen.

Het is mogelijk dat een database corrupt wordt, waardoor u de detecties in een database niet kunt openen of bekijken. Als de database op een systeem beschadigd is, kan dit ook leiden tot fouten in de FireAMP Connector-service, zoals het niet kunnen starten van de connector of een verslechtering van de algehele systeemprestaties. In deze gevallen wilt u misschien de geschiedenisbestanden wissen van de connector, zodat u prestatieproblemen kunt voorkomen en nieuwe logs kunt vastleggen voor diagnose.

De databasebestanden identificeren

Op Microsoft Windows bevinden deze bestanden zich meestal op C:\Program Files\Sourcefire\fireAMP of C:\Program Files\Cisco\AMP.

De naam van de cachedatabasebestanden is:

cache.db
cache.db-shm
cache.db-wal

De naam van de geschiedenisdatabasebestanden is:

history.db
historyex.db
historyex.db-shm
historyex.db-wal

Deze schermafbeelding toont de bestanden in Windows Verkenner:

118565-technote-fireamp-00-00.png

Procedure voor het verwijderen van databasebestanden

Stap 1: Stop de FireAMP Connector Service

U kunt de FireAMP Connector-service op verschillende manieren stoppen:

  • Gebruikersinterface (UI) van de FireAMP Connector-service
  • Windows Services-console
  • Opdrachtprompt voor beheerder

gebruikersinterface

Opmerking: Als de connectorbeveiliging is ingeschakeld, moet u de gebruikersinterface gebruiken om de FireAMP-connectorservice te stoppen.

  1. Open de gebruikersinterface vanuit de lade en klik op Instellingen.
  2. Blader naar beneden en vouw FireAMP-verbindingsinstellingen uit.
  3. Voer in het veld Wachtwoord het wachtwoord voor de connectorbeveiliging in. Klik op Service stoppen.

    118565-technote-fireamp-00-01.png

Serviceconsole

Opmerking: om services in de serviceconsole te stoppen en te starten, hebt u beheerdersbevoegdheden nodig.

Voer de volgende stappen uit om de FireAMP Connector-service vanaf de serviceconsole te stoppen:

  1. Navigeer naar het menu Start.
  2. Voer services.msc in en druk op Enter. De serviceconsole wordt geopend.
  3. Selecteer de service FireAMP Connector en klik met de rechtermuisknop op de servicenaam.
  4. Kies Stoppen om de service te stoppen.

    118565-technote-fireamp-00-02.png

opdrachtprompt

Voer de volgende stappen uit om de FireAMP Connector-service te stoppen vanaf de opdrachtprompt van een beheerder:

  1. Navigeer naar het menu Start.
  2. Voer cmd.exe in en druk op Enter. Er wordt een opdrachtpromptvenster geopend.
  3. Voer de opdracht net stop immunetprotect in. Als u versie 5.0.1 of hoger hebt, voert u de wmic-service in waar "name like 'immunetprotect%'" de startservice-opdracht belt.

    Deze schermafbeelding toont een voorbeeld van de service die succesvol is gestopt:

    118565-technote-fireamp-00-03.png

Stap 2: Verwijder de vereiste databasebestanden

Databasebestanden in cache

Zodra de service is gestopt, kunt u deze drie cachebestanden verwijderen:

Waarschuwing: als u niet alle gerelateerde cachedatabasebestanden verwijdert, kan dit cachingproblemen veroorzaken met de opnieuw gemaakte database. Als zodanig kan het zijn dat de service niet wordt gestart of dat de service minder goed werkt.

cache.db
cache.db-shm
cache.db-wal

Databasegeschiedenisbestanden

Nadat de service is gestopt, verwijdert u deze geschiedenisdatabasebestanden:

Waarschuwing: als u niet alle gerelateerde geschiedenisdatabasebestanden verwijdert, kan dit cachingproblemen veroorzaken met de opnieuw gemaakte database. Als zodanig kan het zijn dat de service niet wordt gestart of dat de service minder goed werkt.

history.db
historyex.db
historyex.db-shm
historyex.db-wal

Stap 3: Start de FireAMP Connector Service

Voer de volgende stappen uit om de FireAMP Connector-service te starten:

  1. Navigeer naar het menu Start.
  2. Voer services.msc in en druk op Enter. De serviceconsole wordt geopend.
  3. Kies de service FireAMP Connector en klik met de rechtermuisknop op de servicenaam.
  4. Kies Start om de service te starten.

    118565-technote-fireamp-00-04.png

    Als alternatief kunt u op de opdrachtprompt van de beheerder de opdracht net start immunetprotect invoeren. Als u versie 5.0.1 of hoger hebt, voert u de wmic-service in waar "name like 'immunetprotect%'" de startservice-opdracht belt.

    Deze schermafbeelding toont een voorbeeld van de service die met succes is gestart:

    118565-technote-fireamp-00-05.png

    Nadat u de services opnieuw hebt gestart, wordt een nieuwe set databasebestanden gemaakt. Dit zou u nu een nieuw exemplaar van de FireAMP Connector moeten bieden met actuele witte lijsten, bloklijsten, uitsluitingen, enzovoort.

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
01-Oct-2014
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Nazmul Rajib
    Cisco TAC Engineer
  • Alexander Dipasquale
    Cisco TAC Engineer

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten