Eliminación de la caché de FireAMP y los archivos de historial en Windows
Contenido
Introducción
Este documento proporciona algunos escenarios que requieren la eliminación de archivos de base de datos en FireAMP para terminales y describe un procedimiento adecuado para quitarlos cuando sea necesario. FireAMP para terminales mantiene un registro de las detecciones y disposiciones recientes de los archivos en los archivos de base de datos. En algunos casos, un ingeniero de soporte técnico de Cisco puede pedirle que quite algunos de los archivos de la base de datos para solucionar un problema.
Archivos de base de datos para caché e historial
Propósito
Los archivos de la base de datos de caché mantienen las disposiciones conocidas para los archivos. Los archivos de la base de datos de historial realizan un seguimiento de todas las detecciones de archivos de FireAMP, junto con los nombres de los archivos de origen y los valores SHA256.
Cuando agrega una lista de bloqueo a una directiva y actualiza el conector, el comportamiento de un archivo determinado no cambia inmediatamente. Esto se debe a que la caché ya ha identificado que el archivo no es malicioso. Como tal, no será cambiada ni anulada por su lista de bloqueo. La disposición cambia cuando la memoria caché caduca por el tiempo de la política y se realiza una nueva búsqueda, primero en las listas y, a continuación, en la nube.
Razones para la eliminación
Si los archivos de la base de datos de historial y de la base de datos de caché se quitan de un directorio, se vuelven a crear de nuevo cuando se reinicia el servicio FireAMP. En algunos casos, puede que sea necesario eliminar estos archivos del directorio de FireAMP. Por ejemplo, si desea probar una detección personalizada simple o una lista de bloques de aplicaciones para un archivo determinado.
Es posible que una base de datos se dañe, lo que impide abrir o ver las detecciones en una base de datos. Como alternativa, si la base de datos está dañada en un sistema, puede provocar errores en el servicio del conector de FireAMP, como la incapacidad de iniciar el conector o la degradación del rendimiento general del sistema. En estos casos, es posible que desee borrar los archivos de historial del conector para evitar que se produzcan problemas relacionados con el rendimiento debido a la corrupción y poder capturar nuevos registros para el diagnóstico.
Identificar los archivos de base de datos
En Microsoft Windows, estos archivos suelen encontrarse en C:\Program Files\Sourcefire\fireAMP o C:\Program Files\Cisco\AMP.
Los nombres de los archivos de la base de datos caché son:
cache.db
cache.db-shm
cache.db-wal
Los nombres de los archivos de base de datos de historial son:
history.db
historyex.db
historyex.db-shm
historyex.db-wal
Esta captura de pantalla muestra los archivos en el Explorador de archivos de Windows:
Procedimiento para eliminar archivos de base de datos
Paso 1: Detención del servicio del conector de FireAMP
Puede detener el servicio del conector de FireAMP de varias formas:
- Interfaz de usuario del servicio del conector FireAMP
- consola de Servicios de Windows
- Símbolo del sistema del administrador
Interfaz del usuario
- Abra la interfaz de usuario desde la bandeja y haga clic en Configuración.
- Desplácese hasta la parte inferior y expanda Configuración del conector de FireAMP.
- En el campo Contraseña, introduzca la contraseña de protección del conector. Haga clic en Detener servicio.
Consola de servicios
Para detener el servicio del conector de FireAMP desde la consola de servicios, siga estos pasos:
- Vaya al menú Inicio.
- Ingrese services.msc y presione Enter. Se abre la consola Servicios.
- Seleccione el servicio FireAMP Connector y haga clic con el botón derecho en el nombre del servicio.
- Elija Stop para detener el servicio.
Símbolo del sistema
Para detener el servicio del conector de FireAMP desde el símbolo del sistema de un administrador, siga estos pasos:
- Vaya al menú Inicio.
- Ingrese cmd.exe y presione Enter. Se abre una ventana del símbolo del sistema.
- Ingrese el comando net stop immunetprotect. Si tiene la versión 5.0.1 o posterior, ingrese el comando wmic service where "name like 'immunetprotect%'" call startservice en su lugar.
Esta captura de pantalla muestra un ejemplo del servicio detenido correctamente:
Paso 2: Suprimir los Archivos de Base de Datos Necesarios
Archivos de base de datos caché
Una vez detenido el servicio, puede eliminar estos tres archivos de caché:
cache.db
cache.db-shm
cache.db-wal
Archivos de base de datos de historial
Una vez detenido el servicio, elimine estos archivos de base de datos de historial:
history.db
historyex.db
historyex.db-shm
historyex.db-wal
Paso 3: Inicio del servicio del conector de FireAMP
Para iniciar el servicio del conector de FireAMP, siga estos pasos:
- Vaya al menú Inicio.
- Ingrese services.msc y presione Enter. Se abre la consola Servicios.
- Elija el servicio FireAMP Connector y haga clic con el botón derecho en el nombre del servicio.
- Elija Start para iniciar el servicio.
Alternativamente, en el símbolo del sistema del administrador puede ingresar el comando net start inmunetprotect. Si tiene la versión 5.0.1 o posterior, ingrese el comando wmic service where "name like 'immunetprotect%'" call startservice en su lugar.
Esta captura de pantalla muestra un ejemplo del servicio iniciado correctamente:
Después de reiniciar los servicios, se crea un nuevo conjunto de archivos de base de datos. Esto debería proporcionarle una nueva instancia del conector de FireAMP con listas blancas, listas de bloques, exclusiones, etc.
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
01-Oct-2014 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)