Verwijdering van de FireAMP Cache en History Files op Windows

Downloadopties

  • PDF     (761.0 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:21 maart 2017
Document-id:118565

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document bevat een aantal scenario's waarin het verwijderen van databasebestanden in FireAMP voor endpoints is vereist en beschrijft een juiste procedure om deze bestanden indien nodig te verwijderen. FireAMP for Endpoints houdt een register bij van zijn recente opsporingen en bepalingen van bestanden in databasebestanden. In bepaalde gevallen kan een Cisco Support Engineer u vragen een aantal databasebestanden te verwijderen om een probleem op te lossen.

Waarschuwing: U kunt een databasebestand alleen verwijderen als u hiervoor instructies hebt gekregen van Cisco Technical Support.

Databasebestanden voor cache en geschiedenis

Doel

De cachedatabasebestanden onderhouden de bekende bepalingen voor bestanden. De geschiedenisdatabase bestanden volgen alle FireAMP-bestandsdetecties, samen met de bronbestandsnamen en SHA256-waarden.

Wanneer u een bloklijst aan een beleid toevoegt en de connector bijwerkt, verandert het gedrag voor een bepaald bestand niet onmiddellijk. Dit komt doordat de cache al heeft aangegeven dat het bestand niet kwaadaardig is. Als zodanig wordt deze niet gewijzigd of overschreven door uw bloklijst. De verwerking verandert wanneer de cache is verlopen per de tijd in uw beleid en een nieuwe raadpleging wordt uitgevoerd - eerst tegen uw lijsten en vervolgens tegen de cloud.

Redenen voor verwijdering

Als de geschiedenisdatabase en cache database bestanden worden verwijderd uit een directory, worden ze opnieuw gecreëerd als de FireAMP service opnieuw start. In bepaalde gevallen kan het nodig zijn om deze bestanden uit de FireAMP-directory te verwijderen. Bijvoorbeeld, als u een eenvoudige douaneopsporing of een lijst van het toepassingsblok voor een bepaald dossier wilt testen.

Het is mogelijk dat een database corrupt kan worden, waardoor u de detecties in een database niet kunt openen of bekijken. Als de database op een systeem beschadigd is, kan dit fouten veroorzaken binnen de FireAMP Connector-service, zoals het niet kunnen starten van de connector of de verslechtering van de algehele systeemprestaties. In deze gevallen kunt u de geschiedenisbestanden uit de connector wissen, zodat u prestatiegerelateerde problemen van corruptie kunt voorkomen en nieuwe logbestanden voor diagnose kunt vastleggen.

De databasebestanden identificeren

In Microsoft Windows bevinden deze bestanden zich doorgaans op C:\Program Files\Sourcefire\fireAMP of C:\Program Files\Cisco\AMP.

De naam van de cachedatabasebestanden is:

cache.db
cache.db-shm
cache.db-wal

De naam van de geschiedenisdatabasebestanden is:

history.db
historyex.db
historyex.db-shm
historyex.db-wal

Deze screenshot toont de bestanden in Windows Bestandsverkenner:

118565-technote-fireamp-00-00.png

Procedure om databasebestanden te verwijderen

Stap 1: De FireAMP-connectorservice stoppen

U kunt de FireAMP Connector op verschillende manieren stoppen:

  • Gebruikersinterface (UI) van de FireAMP Connector-service
  • Windows-servicesconsole
  • Opdrachtprompt voor beheerder

Gebruikersinterface

Opmerking: Als de bescherming van de connector ingeschakeld is, moet u de gebruikersinterface gebruiken om de FireAMP Connector-service te stoppen.

  1. Open de UI in het vak en klik op Instellingen.
  2. Blader naar de onderkant en vouw de FireAMP-connectorinstellingen uit.
  3. Voer in het veld Wachtwoord het wachtwoord voor verbindingsbeveiliging in. Klik op Stop-service.

    118565-technote-fireamp-00-01.png

Servicesconsole

Opmerking: Om services in de servicesconsole te stoppen en te starten, hebt u beheerdersrechten nodig.

Voltooi de volgende stappen om de FireAMP Connector-service vanaf de servicesconsole te stoppen:

  1. Navigeer naar het menu Start.
  2. Voer services.msc in en druk op Enter. De servicesconsole wordt geopend.
  3. Selecteer de FireAMP Connector-service en klik met de rechtermuisknop op de servicenaam.
  4. Kies Stop om de service te stoppen.

    118565-technote-fireamp-00-02.png

Opdrachtprompt

Voltooi de volgende stappen om de FireAMP Connector te stoppen vanuit de opdrachtprompt van een beheerder:

  1. Navigeer naar het menu Start.
  2. Voer cmd.exe in en druk op Enter. Er wordt een venster geopend met de opdrachtprompt.
  3. Voer de opdracht net stop immunetprotection in. Als je versie 5.0.1 of hoger hebt, voer dan de wmic service in waar "name like 'immunetprotection%'" call startservice commando.

    Deze screenshot toont een voorbeeld van de service die met succes is gestopt:

    118565-technote-fireamp-00-03.png

Stap 2: De vereiste databasebestanden verwijderen

Databasebestanden caches

Zodra de service is gestopt, kunt u deze drie cachebestanden verwijderen:

Waarschuwing: Als u niet alle gerelateerde cache database bestanden verwijdert, kan het caching problemen met de nieuwe database. Als zodanig kan de service niet starten of kan de prestatie van de service minder goed worden.

cache.db
cache.db-shm
cache.db-wal

Historie-databasebestanden

Nadat de service is gestopt, kunt u deze historische databasebestanden verwijderen:

Waarschuwing: Als u niet alle gerelateerde geschiedenisdatabasebestanden verwijdert, kan het cacheproblemen met de opnieuw gemaakte database creëren. Als zodanig kan de service niet starten of kan de prestatie van de service minder goed worden.

history.db
historyex.db
historyex.db-shm
historyex.db-wal

Stap 3: Start de FireAMP Connector-service

Voltooi de volgende stappen om de FireAMP Connector-service te starten:

  1. Navigeer naar het menu Start.
  2. Voer services.msc in en druk op Enter. De servicesconsole wordt geopend.
  3. Kies de FireAMP Connector-service en klik met de rechtermuisknop op de servicenaam.
  4. Kies Start om de service te starten.

    118565-technote-fireamp-00-04.png

    In plaats hiervan kunt u in de opdrachtprompt van de beheerder ook de opdracht Net Start Immunetprotection invoeren. Als je versie 5.0.1 of hoger hebt, voer dan de wmic service in waar "name like 'immunetprotection%'" call startservice commando.

    Deze screenshot toont een voorbeeld van de service die met succes is gestart:

    118565-technote-fireamp-00-05.png

    Nadat u de services opnieuw hebt gestart, wordt een nieuwe set databasebestanden gemaakt. Dit moet u nu voorzien van een nieuw exemplaar van de FireAMP-connector met huidige witte lijsten, blokkeringslijsten, uitsluitingen, enzovoort.

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
01-Oct-2014
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Nazmul Rajib
    Cisco TAC Engineer
  • Alexander Dipasquale
    Cisco TAC Engineer

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten