Inleiding
Dit document bevat enkele scenario's die vereisen dat databasebestanden in FireAMP voor Eindpunten worden verwijderd en beschrijft een juiste procedure om ze indien nodig te verwijderen. De FireAMP voor Eindpunten houdt een record van de recente bestandsdetecties en disposities in databasebestanden. In bepaalde gevallen kan een Cisco Support Engineer u vragen om een aantal van de databasebestanden te verwijderen om een probleem op te lossen.
Waarschuwing: u kunt een databasebestand alleen verwijderen als u hiervoor instructies hebt gekregen van de technische ondersteuning van Cisco.
Databasebestanden voor cache en geschiedenis
Doel
De cachedatabasebestanden behouden de bekende disposities voor bestanden. De geschiedenisdatabasebestanden volgen alle FireAMP-bestandsdetecties, samen met bronbestandsnamen en SHA256-waarden.
Wanneer u een blokkeringslijst aan een beleid toevoegt en de connector bijwerkt, verandert het gedrag voor een bepaald bestand niet onmiddellijk. De cache heeft namelijk al vastgesteld dat het bestand niet kwaadaardig is. Als zodanig wordt het niet gewijzigd of overschreven door uw blokkeringslijst. De dispositie verandert wanneer de cache is verlopen per de tijd in uw beleid en een nieuwe zoekopdracht wordt uitgevoerd - eerst tegen uw lijsten en vervolgens tegen de cloud.
Redenen voor verwijdering
Als de geschiedenisdatabase- en cachedatabasebestanden uit een directory worden verwijderd, worden ze opnieuw gemaakt wanneer de FireAMP-service opnieuw wordt gestart. In bepaalde gevallen kan het nodig zijn om deze bestanden uit de FireAMP-directory te verwijderen. Als u bijvoorbeeld een eenvoudige aangepaste detectie of een lijst met toepassingsblokken voor een bepaald bestand wilt testen.
Het is mogelijk dat een database corrupt wordt, waardoor u de detecties in een database niet kunt openen of bekijken. Als de database op een systeem beschadigd is, kan dit ook leiden tot fouten in de FireAMP Connector-service, zoals het niet kunnen starten van de connector of een verslechtering van de algehele systeemprestaties. In deze gevallen wilt u misschien de geschiedenisbestanden wissen van de connector, zodat u prestatieproblemen kunt voorkomen en nieuwe logs kunt vastleggen voor diagnose.
De databasebestanden identificeren
Op Microsoft Windows bevinden deze bestanden zich meestal op C:\Program Files\Sourcefire\fireAMP of C:\Program Files\Cisco\AMP.
De naam van de cachedatabasebestanden is:
cache.db
cache.db-shm
cache.db-wal
De naam van de geschiedenisdatabasebestanden is:
history.db
historyex.db
historyex.db-shm
historyex.db-wal
Deze schermafbeelding toont de bestanden in Windows Verkenner:

Procedure voor het verwijderen van databasebestanden
Stap 1: Stop de FireAMP Connector Service
U kunt de FireAMP Connector-service op verschillende manieren stoppen:
- Gebruikersinterface (UI) van de FireAMP Connector-service
- Windows Services-console
- Opdrachtprompt voor beheerder
gebruikersinterface
Opmerking: Als de connectorbeveiliging is ingeschakeld, moet u de gebruikersinterface gebruiken om de FireAMP-connectorservice te stoppen.
- Open de gebruikersinterface vanuit de lade en klik op Instellingen.
- Blader naar beneden en vouw FireAMP-verbindingsinstellingen uit.
- Voer in het veld Wachtwoord het wachtwoord voor de connectorbeveiliging in. Klik op Service stoppen.

Serviceconsole
Opmerking: om services in de serviceconsole te stoppen en te starten, hebt u beheerdersbevoegdheden nodig.
Voer de volgende stappen uit om de FireAMP Connector-service vanaf de serviceconsole te stoppen:
- Navigeer naar het menu Start.
- Voer services.msc in en druk op Enter. De serviceconsole wordt geopend.
- Selecteer de service FireAMP Connector en klik met de rechtermuisknop op de servicenaam.
- Kies Stoppen om de service te stoppen.

opdrachtprompt
Voer de volgende stappen uit om de FireAMP Connector-service te stoppen vanaf de opdrachtprompt van een beheerder:
- Navigeer naar het menu Start.
- Voer cmd.exe in en druk op Enter. Er wordt een opdrachtpromptvenster geopend.
- Voer de opdracht net stop immunetprotect in. Als u versie 5.0.1 of hoger hebt, voert u de wmic-service in waar "name like 'immunetprotect%'" de startservice-opdracht belt.
Deze schermafbeelding toont een voorbeeld van de service die succesvol is gestopt:

Stap 2: Verwijder de vereiste databasebestanden
Databasebestanden in cache
Zodra de service is gestopt, kunt u deze drie cachebestanden verwijderen:
Waarschuwing: als u niet alle gerelateerde cachedatabasebestanden verwijdert, kan dit cachingproblemen veroorzaken met de opnieuw gemaakte database. Als zodanig kan het zijn dat de service niet wordt gestart of dat de service minder goed werkt.
cache.db
cache.db-shm
cache.db-wal
Databasegeschiedenisbestanden
Nadat de service is gestopt, verwijdert u deze geschiedenisdatabasebestanden:
Waarschuwing: als u niet alle gerelateerde geschiedenisdatabasebestanden verwijdert, kan dit cachingproblemen veroorzaken met de opnieuw gemaakte database. Als zodanig kan het zijn dat de service niet wordt gestart of dat de service minder goed werkt.
history.db
historyex.db
historyex.db-shm
historyex.db-wal
Stap 3: Start de FireAMP Connector Service
Voer de volgende stappen uit om de FireAMP Connector-service te starten:
- Navigeer naar het menu Start.
- Voer services.msc in en druk op Enter. De serviceconsole wordt geopend.
- Kies de service FireAMP Connector en klik met de rechtermuisknop op de servicenaam.
- Kies Start om de service te starten.

Als alternatief kunt u op de opdrachtprompt van de beheerder de opdracht net start immunetprotect invoeren. Als u versie 5.0.1 of hoger hebt, voert u de wmic-service in waar "name like 'immunetprotect%'" de startservice-opdracht belt.
Deze schermafbeelding toont een voorbeeld van de service die met succes is gestart:

Nadat u de services opnieuw hebt gestart, wordt een nieuwe set databasebestanden gemaakt. Dit zou u nu een nieuw exemplaar van de FireAMP Connector moeten bieden met actuele witte lijsten, bloklijsten, uitsluitingen, enzovoort.