Suppression des fichiers de cache et d'historique FireAMP sous Windows
Table des matières
Introduction
Ce document présente certains scénarios qui nécessitent la suppression de fichiers de base de données dans FireAMP for Endpoints et décrit une procédure appropriée pour les supprimer si nécessaire. FireAMP for Endpoints conserve un enregistrement de ses détections et dispositions de fichiers récentes dans les fichiers de base de données. Dans certains cas, un ingénieur d'assistance Cisco peut vous demander de supprimer certains fichiers de la base de données afin de résoudre un problème.
Fichiers de base de données pour le cache et l'historique
Objectif
Les fichiers de la base de données de cache conservent les dispositions connues des fichiers. Les fichiers de la base de données d'historique suivent toutes les détections de fichiers FireAMP, ainsi que les noms de fichiers source et les valeurs SHA256.
Lorsque vous ajoutez une liste de blocage à une stratégie et que vous mettez à jour le connecteur, le comportement d'un fichier donné ne change pas immédiatement. En effet, le cache a déjà identifié que le fichier n'est pas malveillant. En tant que tel, il ne sera pas modifié ou remplacé par votre liste de blocage. La disposition change lorsque le cache expire en fonction de la durée de votre stratégie et qu'une nouvelle recherche est effectuée, d'abord sur vos listes, puis sur le cloud.
Motifs du renvoi
Si la base de données d'historique et les fichiers de la base de données cache sont supprimés d'un répertoire, ils sont recréés à nouveau au redémarrage du service FireAMP. Dans certains cas, il peut être nécessaire de supprimer ces fichiers du répertoire FireAMP. Par exemple, si vous souhaitez tester une détection personnalisée simple ou une liste de blocage d'application pour un fichier donné.
Il est possible qu'une base de données soit corrompue, ce qui vous empêche d'ouvrir ou d'afficher les détections dans une base de données. Si la base de données est corrompue sur un système, elle peut également entraîner des erreurs au sein du service Connecteur FireAMP, telles que l'impossibilité de démarrer le connecteur ou la dégradation des performances globales du système. Dans ces cas, vous pouvez effacer les fichiers d'historique du connecteur afin d'éviter les problèmes de performances dus à la corruption et de pouvoir capturer de nouveaux journaux à des fins de diagnostic.
Identifier les fichiers de base de données
Sous Microsoft Windows, ces fichiers se trouvent généralement à l'adresse C:\Program Files\Sourcefire\fireAMP ou C:\Program Files\Cisco\AMP.
Les noms des fichiers de la base de données cache sont les suivants :
cache.db
cache.db-shm
cache.db-wal
Les noms des fichiers de base de données d'historique sont :
history.db
historyex.db
historyex.db-shm
historyex.db-wal
Cette capture d'écran présente les fichiers de l'Explorateur de fichiers Windows :
Procédure de suppression des fichiers de base de données
Étape 1 : Arrêtez le service du connecteur FireAMP
Vous pouvez arrêter le service FireAMP Connector de plusieurs manières :
- Interface utilisateur (UI) du service Connecteur FireAMP
- Console des services Windows
- Invite de commandes de l'administrateur
Interface utilisateur
- Ouvrez l'interface utilisateur à partir de la barre d'état système et cliquez sur Settings.
- Faites défiler la page vers le bas et développez Paramètres du connecteur FireAMP.
- Dans le champ Mot de passe, saisissez le mot de passe de protection du connecteur. Cliquez sur Arrêter le service.
Console de services
Pour arrêter le service Connecteur FireAMP à partir de la console de services, procédez comme suit :
- Accédez au menu Démarrer.
- Saisissez services.msc et appuyez sur Entrée. La console Services s'ouvre.
- Sélectionnez le service Connecteur FireAMP et cliquez avec le bouton droit sur le nom du service.
- Choisissez Stop afin d'arrêter le service.
Invite de commandes
Pour arrêter le service Connecteur FireAMP à partir de l'invite de commandes d'un administrateur, procédez comme suit :
- Accédez au menu Démarrer.
- Entrez cmd.exe et appuyez sur Entrée. Une fenêtre d'invite de commandes s'ouvre.
- Entrez la commande net stop immunetprotect. Si vous disposez de la version 5.0.1 ou ultérieure, entrez la commande wmic service où « name like 'immunetprotect%' » call startservice.
Cette capture d'écran illustre un exemple d'arrêt réussi du service :
Étape 2 : Supprimez les fichiers de base de données requis
Fichiers de base de données cache
Une fois le service arrêté, vous pouvez supprimer ces trois fichiers cache :
cache.db
cache.db-shm
cache.db-wal
Fichiers de base de données historique
Une fois le service arrêté, supprimez ces fichiers de base de données d'historique :
history.db
historyex.db
historyex.db-shm
historyex.db-wal
Étape 3 : Démarrez le service du connecteur FireAMP
Pour démarrer le service FireAMP Connector, procédez comme suit :
- Accédez au menu Démarrer.
- Saisissez services.msc et appuyez sur Entrée. La console Services s'ouvre.
- Choisissez le service Connecteur FireAMP et cliquez avec le bouton droit sur le nom du service.
- Choisissez Start afin de démarrer le service.
Vous pouvez également saisir la commande net start immunetprotect à l'invite de commandes de l'administrateur. Si vous disposez de la version 5.0.1 ou ultérieure, entrez la commande wmic service où « name like 'immunetprotect%' » call startservice.
Cette capture d'écran présente un exemple de démarrage réussi du service :
Après le redémarrage des services, un nouvel ensemble de fichiers de base de données est créé. Vous devriez maintenant disposer d'une nouvelle instance du connecteur FireAMP avec les listes blanches, les listes de blocage, les exclusions, etc.
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
01-Oct-2014 |
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)