FireAMP高速缓冲存储器和历史文件的删除在Windows
Contents
Introduction
本文提供为终端要求数据库文件删除在FireAMP的一些方案并且描述一个适当程序当必要时去除他们。终端的FireAMP保持其最近文件检测和处理记录在数据库文件。在某些情况下, Cisco技术支持工程师也许要求您删除某些数据库文件为了排除问题故障。
高速缓冲存储器和历史记录的数据库文件
目的
高速缓冲存储器数据库文件维护文件的已知处理。历史记录数据库文件与源文件名字和SHA256值一起跟踪所有FireAMP文件检测。
当您添加一张块列表到策略并且更新连接器时,一个特定文件的工作情况不立即更改。这是因为高速缓冲存储器已经识别文件不是有恶意的。同样地,它不会由您的块列表更改也不会改写。处理更改,当高速缓冲存储器每在您的策略的时间是过期,并且新的查找执行-首先您的列表和随后网云。
删除的原因
如果历史记录数据库和高速缓冲存储器数据库文件从目录删除,他们是被再创的新鲜的,当FireAMP服务重新启动时。在某些情况下从FireAMP目录删除这些文件也许是必要的。例如,如果要为一个特定文件测试简单的自定义检测或应用程序块列表。
很可能,数据库可能变得损坏,使您无法打开或查看在数据库的检测。或者,如果数据库是损坏在系统它能造成在FireAMP连接器服务内的错误例如无法开始整体系统性能的连接器或降低。在这些实例您也许要清除从连接器的历史文件,以便您可以避免从损坏的与表现有关的问题和能获取诊断的新的日志。
识别数据库文件
在微软视窗,这些文件典型地寻找C:\Program Files\Sourcefire\fireAMP或C:\Program Files\Cisco\AMP。
高速缓冲存储器数据库文件的名字是:
cache.db
cache.db-shm
cache.db-wal
历史记录数据库文件的名字是:
history.db
historyex.db
historyex.db-shm
historyex.db-wal
此屏幕画面显示在Windows文件Explorer的文件:
删除数据库文件的程序
步骤 1:终止FireAMP连接器服务
您能终止FireAMP连接器服务多种方式:
- 用户界面(UI) FireAMP连接器服务
- Windows服务控制台
- 管理员的prompt命令
用户界面
- 打开从盘的UI并且点击设置。
- 移动到底部并且扩展FireAMP连接器设置。
- 在密码字段,请输入连接器保护密码。点击终止服务。
服务控制台
为了从服务控制台终止FireAMP连接器服务,请完成这些步骤:
- 连接对Start菜单。
- 输入services.msc并且按Enter。服务控制台打开。
- 选择FireAMP连接器服务并且用鼠标右键单击服务名称。
- 选择终止为了终止服务。
Prompt命令
为了从管理员的prompt命令终止FireAMP连接器服务,请完成这些步骤:
- 连接对Start菜单。
- 输入cmd.exe并且按Enter。A命令提示窗口打开。
- 输入net stop immunetprotect命令。如果有版本5.0.1或以上,请加入“名字类似‘immunetprotect%’”呼叫startservice发出命令的wmic服务。
此屏幕画面显示顺利地被终止的服务的示例:
步骤 2:删除必需的数据库文件
缓存数据库文件
一旦服务被终止您能删除这三个缓存文件:
cache.db
cache.db-shm
cache.db-wal
历史记录数据库文件
一旦服务被终止,请删除这些历史记录数据库文件:
history.db
historyex.db
historyex.db-shm
historyex.db-wal
步骤 3:开始FireAMP连接器服务
为了开始FireAMP连接器服务,请完成这些步骤:
- 连接对Start菜单。
- 输入services.msc并且按Enter。服务控制台打开。
- 选择FireAMP连接器服务并且用鼠标右键单击服务名称。
- 选择开始为了开始服务。
或者,在管理员的prompt命令您能输入net start immunetprotect命令。如果有版本5.0.1或以上,请加入“名字类似‘immunetprotect%’”呼叫startservice发出命令的wmic服务。
显示服务的示例成功地开始的此屏幕画面:
在您重新启动新的一套数据库文件被创建的服务后。这应该当前提供您FireAMP连接器的一个新实例有当前空白列表的,块列表,排除,等等。
反馈