Inleiding
Dit document bevat een aantal scenario's die een verwijdering van gegevensbestanden in FireAMP voor endpoints vereisen en een geschikte procedure om deze indien nodig te verwijderen. FireAMP for Endpoints houdt een register bij van de recente bestandsdetecties en -bepalingen in databases. In bepaalde gevallen kan een Cisco Support Engineer u vragen om een aantal van de databases te verwijderen om een probleem op te lossen.
Waarschuwing: U kunt een databases alleen verwijderen als u hiervoor instructies hebt gekregen van Cisco Technical Support.
Databasesbestanden voor cache en geschiedenis
doel
De cache database bestanden behouden de bekende disposities voor bestanden. De historiebestanden volgen alle FireAMP bestanddetectie, samen met bronbestandsnamen en SHA256-waarden.
Wanneer u een bloklijst aan een beleid toevoegt en de connector bijwerkt, verandert het gedrag voor een bepaald bestand niet direct. Dit komt doordat de cache al heeft geïdentificeerd dat het bestand niet kwaadaardig is. Als zodanig wordt de lijst niet gewijzigd of overschreven door de lijst met geblokkeerde bestanden. De dispositie verandert wanneer het cache per het tijdstip in uw beleid is verlopen en een nieuwe raadpleging wordt uitgevoerd - eerst tegen uw lijsten en daarna tegen de cloud.
Redenen voor verwijdering
Als de geschiedenis database en cache database bestanden uit een folder worden verwijderd, worden ze opnieuw gecreëerd wanneer de FireAMP service opnieuw start. In bepaalde gevallen kan het nodig zijn om deze bestanden uit de FireAMP-map te verwijderen. Bijvoorbeeld, als u een eenvoudige douanedetectie of een toepassingsbloklijst voor een bepaald bestand wilt testen.
Het is mogelijk dat een database corrupt wordt, waardoor u de detecties in een database niet kunt openen of bekijken. Als de database daarentegen corrupt is op een systeem, kan deze fouten veroorzaken in de FireAMP-connector, zoals het onvermogen om de connector te starten of de algehele systeemprestaties achteruit te gaan. In deze gevallen kunt u de historie-bestanden van de connector wissen, zodat u prestatiegerelateerde problemen van corruptie kunt voorkomen en u nieuwe logbestanden voor diagnose kunt opnemen.
De databases identificeren
Op Microsoft Windows bevinden deze bestanden zich doorgaans op C:\Program Files\Sourcefire\fireAMP or C:\Program Files\Cisco\AMP.
De naam van de cache database bestanden is:
cache.db
cache.db-shm
cache.db-wal
De naam van de bestanden met historische databases is:
history.db
historyex.db
historyex.db-shm
historyex.db-wal
Dit screenshot toont de bestanden in Windows File Explorer:

Procedure om databases te verwijderen
Stap 1: Stop de FirePOWER-connector
U kunt de FirePOWER-connector op verschillende manieren stopzetten:
- Gebruikersinterface (UI) van de FireAMP-connector
- Windows-servicesconsole
- opdrachtmelding van de beheerder
Gebruikersinterface
Opmerking: Als u verbindingsbescherming hebt ingeschakeld, moet u de UI gebruiken om de FireAMP Connector service te stoppen.
- Open de UI uit het dienblad en klik op Instellingen.
- Scrolt naar de onderkant en breid FireAMP Connector - instellingen uit.
- Voer in het veld Wachtwoord het wachtwoord in dat u wilt beveiligen. Klik op Stop Service.

Servicesconsole
Opmerking: Om de services in de servicesconsole te stoppen en te starten hebt u Administrator-rechten nodig.
Voltooi de volgende stappen om de FireAMP Connector vanuit de servicesconsole te stoppen:
- Navigeer naar het menu Start.
- Voer services.msc in en druk op Voer in. De servicesconsole wordt geopend.
- Selecteer de FirePOWER-connector en klik met de rechtermuisknop op de servicenaam.
- Klik op Stop om de service te stoppen.

Opdrachtmelding
Voltooi de volgende stappen om de FireAMP Connector vanuit de opdrachtmelding van een beheerder te stoppen:
- Navigeer naar het menu Start.
- Voer cmd.exe in en druk op ENTER. Er wordt een venster met de opdrachtmelding geopend.
- Typ de opdracht Stop immunetprotection. Indien u versie 5.0.1 of hoger heeft, dient u de wmic-service in te voeren waarbij "naam als 'immunetprotection%'" de opdracht startservice inplaats daarvan belt.
Dit screenshot toont een voorbeeld van de service die is gestopt:

Stap 2: De gewenste databases verwijderen
Databasesopieën
Nadat de service is stopgezet, kunt u deze drie cache bestanden verwijderen:
Waarschuwing: Als u niet alle verwante cache-bestanden verwijdert, kan het caching-problemen met de herkende database creëren. Als u dit wel doet, kan de service niet starten of u kunt bij de service minder goed werken.
cache.db
cache.db-shm
cache.db-wal
Databasestbestanden
Nadat de service is gestopt, verwijdert u deze bestanden uit de historie van de database:
Waarschuwing: Als u niet alle verwante historie-gegevensbestanden verwijdert, kunt u caching-kwesties maken met de herkende database. Als u dit wel doet, kan de service niet starten of u kunt bij de service minder goed werken.
history.db
historyex.db
historyex.db-shm
historyex.db-wal
Stap 3: Start de FirePOWER-connector
Voltooi de volgende stappen om de FireAMP-connector te starten:
- Navigeer naar het menu Start.
- Voer services.msc in en druk op Voer in. De servicesconsole wordt geopend.
- Kies de FirePOWER-connector en klik met de rechtermuisknop op de servicenaam.
- Kies Start om de service te starten.

U kunt ook de opdracht immunetProtection (netto-start-beveiliging) invoeren in de opdrachtmelding van de beheerder. Indien u versie 5.0.1 of hoger heeft, dient u de wmic-service in te voeren waarbij "naam als 'immunetprotection%'" de opdracht startservice inplaats daarvan belt.
Dit screenshot toont een voorbeeld van de service die met succes is gestart:

Nadat u de services opnieuw hebt gestart, wordt er een nieuwe set databases aangemaakt. Dit zou u nu van een nieuw exemplaar van de FireAMP Connector moeten voorzien van huidige witte lijsten, bloklijsten, uitsluitingen, etc.