Rimozione della cache e dei file di cronologia di FireAMP in Windows

Opzioni per il download

  • PDF     (760.5 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (721.6 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (530.4 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:21 marzo 2017
ID documento:118565

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento vengono illustrati alcuni scenari che richiedono la rimozione di file di database in FireAMP for Endpoints e viene descritta una procedura appropriata per la rimozione di tali file quando necessario. FireAMP for Endpoints conserva una registrazione delle sue recenti rilevazioni ed eliminazioni di file nei file di database. In alcuni casi, un tecnico dell'assistenza Cisco potrebbe richiedere la rimozione di alcuni file di database per la risoluzione di un problema.

Avviso: è possibile rimuovere un file di database solo se richiesto dal supporto tecnico Cisco.

File di database per cache e cronologia

Scopo

I file del database della cache mantengono le disposizioni note per i file. I file del database cronologico rilevano tutti i rilevamenti di file FireAMP, oltre ai nomi dei file di origine e ai valori SHA256.

Quando si aggiunge un elenco di blocco a un criterio e si aggiorna il connettore, il comportamento di un determinato file non cambia immediatamente. La cache ha già rilevato che il file non è dannoso. Di conseguenza, non verrà modificato o sostituito dall'elenco Blocca. La disposizione cambia quando la cache è scaduta ogni volta nel criterio e viene eseguita una nuova ricerca, prima negli elenchi e successivamente nel cloud.

Motivi della rimozione

Se i file del database di cronologia e del database di cache vengono rimossi da una directory, verranno ricreati al riavvio del servizio FireAMP. In alcuni casi potrebbe essere necessario rimuovere questi file dalla directory FireAMP. Ad esempio, se si desidera verificare un semplice rilevamento personalizzato o un elenco di applicazioni bloccate per un determinato file.

È possibile che un database risulti danneggiato e pertanto non sarà possibile aprire o visualizzare i rilevamenti in un database. In alternativa, se il database è danneggiato su un sistema, è possibile che si verifichino errori nel servizio FireAMP Connector, ad esempio l'impossibilità di avviare il connettore o il peggioramento delle prestazioni complessive del sistema. In questi casi è possibile cancellare i file di cronologia dal connettore in modo da evitare problemi relativi alle prestazioni e poter acquisire nuovi registri per la diagnosi.

Identificazione dei file di database

In Microsoft Windows, questi file si trovano in genere in C:\Program Files\Sourcefire\fireAMP o C:\Program Files\Cisco\AMP.

Nome dei file di database della cache:

cache.db
cache.db-shm
cache.db-wal

Il nome dei file del database della cronologia è:

history.db
historyex.db
historyex.db-shm
historyex.db-wal

In questa schermata vengono mostrati i file in Esplora file di Windows:

118565-technote-fireamp-00-00.png

Procedura di rimozione dei file di database

Fase 1: Arrestare il servizio FireAMP Connector

È possibile arrestare il servizio FireAMP Connector in diversi modi:

  • Interfaccia utente del servizio FireAMP Connector
  • console di Servizi Windows
  • Prompt dei comandi dell'amministratore

Interfaccia utente

Nota: se la protezione del connettore è abilitata, è necessario utilizzare l'interfaccia utente per interrompere il servizio FireAMP Connector.

  1. Aprire l'interfaccia utente dall'area di notifica e fare clic su Impostazioni.
  2. Scorrere fino alla parte inferiore ed espandere Impostazioni connettore FireAMP.
  3. Nel campo Password, immettere la password di protezione del connettore. Fare clic su Arresta servizio.

    118565-technote-fireamp-00-01.png

Console dei servizi

Nota: per arrestare e avviare i servizi nella console dei servizi, è necessario disporre dei privilegi di amministratore.

Per interrompere il servizio FireAMP Connector dalla console dei servizi, attenersi alla seguente procedura:

  1. Passare al menu Start.
  2. Immettere services.msc e premere Invio. Verrà visualizzata la console Servizi.
  3. Selezionare il servizio FireAMP Connector e fare clic con il pulsante destro del mouse sul nome del servizio.
  4. Per arrestare il servizio, scegliere Arresta.

    118565-technote-fireamp-00-02.png

Prompt dei comandi

Per arrestare il servizio FireAMP Connector dal prompt dei comandi di un amministratore, attenersi alla seguente procedura:

  1. Passare al menu Start.
  2. Immettere cmd.exe e premere Invio. Viene visualizzata una finestra del prompt dei comandi.
  3. Immettere il comando net stop immunetprotect. Se si dispone della versione 5.0.1 o successiva, immettere il servizio wmic dove "name like 'immunetprotect%'" chiama invece il comando startservice.

    In questa schermata viene mostrato un esempio di interruzione del servizio completata:

    118565-technote-fireamp-00-03.png

Passaggio 2: Eliminare i file di database necessari

Memorizza file di database nella cache

Una volta arrestato il servizio, è possibile eliminare i seguenti tre file di cache:

Avviso: se non si eliminano tutti i file di database della cache correlati, è possibile che si verifichino problemi di memorizzazione nella cache con il database ricreato. Di conseguenza, è possibile che il servizio non venga avviato o che le prestazioni del servizio risultino ridotte.

cache.db
cache.db-shm
cache.db-wal

File di database della cronologia

Dopo l'arresto del servizio, rimuovere i seguenti file di database della cronologia:

Avviso: se non si eliminano tutti i file di database della cronologia correlati, è possibile che si verifichino problemi di memorizzazione nella cache con il database ricreato. Di conseguenza, è possibile che il servizio non venga avviato o che le prestazioni del servizio risultino ridotte.

history.db
historyex.db
historyex.db-shm
historyex.db-wal

Fase 3: Avviare il servizio FireAMP Connector

Per avviare il servizio FireAMP Connector, attenersi alla seguente procedura:

  1. Passare al menu Start.
  2. Immettere services.msc e premere Invio. Verrà visualizzata la console Servizi.
  3. Scegliere il servizio FireAMP Connector e fare clic con il pulsante destro del mouse sul nome del servizio.
  4. Per avviare il servizio, scegliere Avvia.

    118565-technote-fireamp-00-04.png

    In alternativa, al prompt dei comandi dell'amministratore è possibile immettere il comando net start immunetprotect. Se si dispone della versione 5.0.1 o successiva, immettere il servizio wmic dove "name like 'immunetprotect%'" chiama invece il comando startservice.

    In questa schermata viene mostrato un esempio di avvio del servizio completato:

    118565-technote-fireamp-00-05.png

    Dopo il riavvio dei servizi, viene creato un nuovo set di file di database. In questo modo è possibile disporre di una nuova istanza del connettore FireAMP con elenchi di bianchi, elenchi di blocchi, esclusioni e così via.

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
01-Oct-2014
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Nazmul Rajib
    Cisco TAC Engineer
  • Alexander Dipasquale
    Cisco TAC Engineer

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti