Remoção do esconderijo e dos arquivos históricos de FireAMP em Windows
Índice
Introdução
Este documento fornece algumas encenações que exigem uma remoção dos arquivos da base de dados em FireAMP para valores-limite e descreve um procedimento apropriado para removê-los quando necessário. O FireAMP para valores-limite mantém um registro de suas detecções e disposições do arquivo recente nos arquivos da base de dados. Em certos casos, um engenheiro de suporte da Cisco pôde pedir que você remova alguns dos arquivos da base de dados a fim pesquisar defeitos uma edição.
Arquivos da base de dados para o esconderijo e a história
Propósito
Os arquivos da base de dados do esconderijo mantêm as disposições conhecidas para arquivos. Os arquivos da base de dados de história seguem todas as detecções do arquivo de FireAMP, junto com nomes do arquivo de origem e valores SHA256.
Quando você adiciona uma lista do bloco a uma política e atualiza o conector, o comportamento para um arquivo dado não muda imediatamente. Isto é porque o esconderijo tem identificado já que o arquivo não é malicioso. Como tal, não será mudado nem será cancelado por sua lista do bloco. A disposição muda quando o esconderijo está expirado pelo tempo em sua política e uma consulta nova está executada - primeiramente contra suas lista e subseqüentemente contra a nuvem.
Razões para a remoção
Se os arquivos da base de dados do base de dados e do esconderijo da história são removidos de um diretório, são frescos recreado quando o serviço de FireAMP reinicia. Em certos casos pôde ser necessário remover estes arquivos do diretório de FireAMP. Por exemplo, se você quer testar uma detecção feita sob encomenda simples ou uma lista do bloco do aplicativo para um arquivo dado.
É possível que um base de dados poderia se tornar corrompido, que o torne incapaz de abrir ou ver as detecções em um base de dados. Alternativamente, se o base de dados é corrompido em um sistema pode causar erros dentro do serviço do conector de FireAMP tal como a incapacidade começar o conector ou a degradação do desempenho de sistema total. Nestes exemplos você pôde querer cancelar os arquivos históricos do conector de modo que você pudesse evitar questões relacionadas ao desempenho da corrupção e poder capturar logs novos para o diagnóstico.
Identifique os arquivos da base de dados
Em Microsoft Windows, estes arquivos são ficados tipicamente em C:\Program Files\Sourcefire\fireAMP ou em C:\Program Files\Cisco\AMP.
O nome dos arquivos da base de dados do esconderijo é:
cache.db
cache.db-shm
cache.db-wal
O nome dos arquivos da base de dados da história é:
history.db
historyex.db
historyex.db-shm
historyex.db-wal
Este tiro de tela mostra os arquivos no explorador do arquivo de Windows:
Procedimento para remover os arquivos da base de dados
Passo 1: Pare o serviço do conector de FireAMP
Você pode parar maneiras do serviço do conector de FireAMP as várias:
- Interface do utilizador (UI) do serviço do conector de FireAMP
- Console de serviços de Windows
- O comando prompt do administrador
Interface de usuário
- Abra o UI da bandeja e clique ajustes.
- O rolo à parte inferior e expande ajustes do conector de FireAMP.
- No campo de senha, incorpore a senha da proteção do conector. Clique o serviço da parada.
Console de serviços
A fim parar o serviço do conector de FireAMP do console de serviços, termine estas etapas:
- Navegue ao menu de início.
- Incorpore services.msc e pressione-o entram. O console de serviços abre.
- Selecione o serviço do conector de FireAMP e clicar com o botão direito o nome do serviço.
- Escolha a parada a fim parar o serviço.
Comando prompt
A fim parar o serviço do conector de FireAMP do comando prompt de um administrador, termine estas etapas:
- Navegue ao menu de início.
- Incorpore cmd.exe e pressione-o entram. A janela imediata do comando A abre.
- Incorpore o comando líquido do immunetprotect da parada. Se você tem a versão 5.0.1 ou mais recente, incorpore o serviço wmic onde o “nome como “immunetprotect%”” startservice do atendimento comanda pelo contrário.
Este tiro de tela mostra um exemplo do serviço parado com sucesso:
Passo 2: Suprima dos arquivos da base de dados exigidos
Põe em esconderijo arquivos da base de dados
Uma vez que o serviço é parado você pode suprimir destes três arquivos de cache:
cache.db
cache.db-shm
cache.db-wal
Arquivos da base de dados da história
Uma vez que o serviço é parado, remova estes arquivos da base de dados da história:
history.db
historyex.db
historyex.db-shm
historyex.db-wal
Passo 3: Comece o serviço do conector de FireAMP
A fim começar o serviço do conector de FireAMP, termine estas etapas:
- Navegue ao menu de início.
- Incorpore services.msc e pressione-o entram. O console de serviços abre.
- Escolha o serviço do conector de FireAMP e clicar com o botão direito o nome do serviço.
- Escolha o começo a fim começar o serviço.
Alternativamente, no comando prompt do administrador você pode incorporar o comando líquido do immunetprotect do começo. Se você tem a versão 5.0.1 ou mais recente, incorpore o serviço wmic onde o “nome como “immunetprotect%”” startservice do atendimento comanda pelo contrário.
Este tiro de tela mostra um exemplo do serviço começado com sucesso:
Depois que você reinicia os serviços um grupo novo de arquivos da base de dados está criado. Isto deve agora fornecê-lo um exemplo fresco do conector de FireAMP com lista brancas atuais, lista do bloco, exclusões, e assim por diante.
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)