删除Windows上的FireAMP缓存和历史记录文件
目录
简介
本文档提供一些需要删除面向终端的FireAMP中的数据库文件的方案,并介绍在必要时删除这些文件的正确过程。面向终端的FireAMP在数据库文件中维护其最新文件检测和处置的记录。在某些情况下,Cisco支持工程师可能会要求您删除一些数据库文件以排除故障。
用于缓存和历史记录的数据库文件
目的
高速缓存数据库文件维护文件的已知性质。历史记录数据库文件跟踪所有FireAMP文件检测,以及源文件名和SHA256值。
向策略添加阻止列表并更新连接器时,给定文件的行为不会立即更改。这是因为缓存已识别出该文件不是恶意文件。因此,阻止列表不会更改或覆盖它。当缓存在策略中的每段时间过期且执行新查找时,性质会更改 — 首先根据列表执行查找,然后根据云执行查找。
删除原因
如果从目录中删除历史记录数据库和缓存数据库文件,则在FireAMP服务重新启动时重新创建它们。在某些情况下,可能需要将这些文件从FireAMP目录中删除。例如,如果要测试给定文件的简单自定义检测或应用阻止列表。
数据库可能会损坏,这会使您无法打开或查看数据库中的检测项。或者,如果系统上的数据库已损坏,则可能导致FireAMP连接器服务出错,例如无法启动连接器或整体系统性能下降。在这些情况下,您可能希望从连接器清除历史记录文件,以便避免性能相关问题损坏并能够捕获新日志以供诊断。
识别数据库文件
在Microsoft Windows上,这些文件通常位于C:\Program Files\Sourcefire\fireAMP或C:\Program Files\Cisco\AMP。
缓存数据库文件的名称为:
cache.db
cache.db-shm
cache.db-wal
历史记录数据库文件的名称为:
history.db
historyex.db
historyex.db-shm
historyex.db-wal
此屏幕截图显示了Windows文件资源管理器上的文件:
删除数据库文件的过程
步骤 1:停止FireAMP连接器服务
您可以通过多种方式停止FireAMP连接器服务:
- FireAMP连接器服务的用户界面(UI)
- Windows服务控制台
- 管理员的命令提示符
用户界面
- 从托盘中打开UI,然后单击Settings。
- 滚动到底部,展开FireAMP Connector Settings。
- 在Password字段中,输入连接器保护密码。单击Stop Service。
服务控制台
要从服务控制台停止FireAMP连接器服务,请完成以下步骤:
- 导航到开始菜单。
- 输入services.msc并按Enter。将打开“服务”控制台。
- 选择FireAMP Connector服务,然后右键单击服务名称。
- 选择Stop以停止服务。
命令提示符
要从管理员的命令提示符停止FireAMP连接器服务,请完成以下步骤:
- 导航到开始菜单。
- 输入cmd.exe并按Enter。将会打开命令提示符窗口。
- 输入net stop immunetprotect命令。如果您有5.0.1版或更高版本,请输入wmic service,其中“name like 'immunetprotect%'”call startservice命令。
此屏幕截图显示成功停止的服务的示例:
步骤 2:删除所需的数据库文件
缓存数据库文件
停止服务后,您可以删除以下三个缓存文件:
cache.db
cache.db-shm
cache.db-wal
历史记录数据库文件
服务停止后,请删除以下历史记录数据库文件:
history.db
historyex.db
historyex.db-shm
historyex.db-wal
步骤 3:启动FireAMP连接器服务
要启动FireAMP连接器服务,请完成以下步骤:
- 导航到开始菜单。
- 输入services.msc并按Enter。将打开“服务”控制台。
- 选择FireAMP Connector服务并右键单击服务名称。
- 选择Start以启动服务。
或者,在管理员的命令提示符下,您可以输入net start immunetprotect命令。如果您有5.0.1版或更高版本,请输入wmic service,其中“name like 'immunetprotect%'”call startservice命令。
此屏幕截图显示已成功启动的服务示例:
重新启动服务后,将创建一组新的数据库文件。现在,这应该会为您提供一个包含当前白名单、阻止列表、例外项等的新FireAMP连接器实例。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
01-Oct-2014
|
初始版本 |
反馈