Windows FireAMPキャッシュ、履歴ファイルの削除

はじめに

このドキュメントでは、FireAMP for Endpoints でデータベース ファイルを削除する必要があるいくつかのシナリオを紹介し、必要に応じてそれらを削除する正しい手順について説明します。FireAMP for Endpoints は、最近のファイルの検出と廃棄のレコードをデータベース ファイルに保持します。特定のケースでは、シスコ サポート エンジニアが問題のトラブルシューティングのために一部のデータベース ファイルの削除を依頼する場合があります。

警告：データベースファイルを削除できるのは、シスコテクニカルサポートから指示された場合だけです。

キャッシュと履歴のデータベース ファイル

目的

キャッシュ データベース ファイルは、既知のファイルの廃棄を保持します。履歴データベース ファイルは、ソース ファイル名と SHA256 の値とともにすべての FireAMP ファイルの検出を追跡します。

ブロック リストをポリシーに追加してコネクタを更新しても、指定されたファイルの動作は直ちには変更されません。これは、悪意がないファイルであることがキャッシュ時点ですでに特定されているためです。したがって、ファイルの動作はブロック リストによって変更または上書きされません。廃棄は、キャッシュがポリシー内の時刻に従って期限切れになり、新しい検索が最初はリストに対して、次にクラウドに対して実行されたときに、変更されます。

削除の理由

ディレクトリから履歴データベース ファイルとキャッシュ データベース ファイルを削除すると、FireAMP サービスの再起動時に新しく作り直されます。特定のケースでは、FireAMP ディレクトリからこれらのファイルを削除しなければならない場合があります。たとえば、特定のファイルの単純なカスタム検出やアプリケーション ブロック リストをテストする場合です。

データベースが破損して、データベース内の検出を開いたり表示することができなくなる可能性があります。また、システムのデータベースが破損した場合は、FireAMP Connector サービス内でコネクタの起動不能やシステム全体のパフォーマンスの低下などのエラーが発生する可能性があります。このようなケースでは、コネクタから履歴ファイルを消去することにより、破損が原因のパフォーマンス関連の問題を回避し、診断用の新しいログをキャプチャすることができます。

データベース ファイルの特定

Microsoft Windowsでは、通常、これらのファイルはC:\Program Files\Sourcefire\fireAMPまたはC:\Program Files\Cisco\AMPにあります。

キャッシュ データベース ファイルの名前は次のとおりです。

cache.db
cache.db-shm
cache.db-wal

履歴データベース ファイルの名前は次のとおりです。

history.db
historyex.db
historyex.db-shm
historyex.db-wal

このスクリーンショットは、Windows エクスプローラ上のファイルを示しています。

データベース ファイルの削除手順

ステップ1:FireAMPコネクタサービスを停止します。

FireAMP Connector サービスはさまざまな方法で停止することができます。

• FireAMP Connector サービスのユーザ インターフェイス（UI）
• Windows サービス コンソール
• 管理者のコマンド プロンプト

ユーザ インターフェイス

注：コネクタ保護を有効にしている場合は、UIを使用してFireAMP Connectorサービスを停止する必要があります。

1. トレイから UI を開いて、[設定（Settings）] をクリックします。
2. 一番下までスクロールして、[FireAMP Connector設定（FireAMP Connector Settings）] を展開します。
3. [パスワード（Password）] フィールドに、コネクタ保護パスワードを入力します。[サービス停止（Stop Service）] をクリックします。

   

サービス コンソール

注：サービスコンソールでサービスを停止および開始するには、管理者権限が必要です。

サービス コンソールから FireAMP Connector サービスを停止するには、次の手順を実行します。

1. [スタート（Start）] メニューに移動します。
   
2. 「services.msc」と入力して、Enter キーを押します。サービス コンソールが開きます。
3. [FireAMP Connector] サービスを選択して、サービス名を右クリックします。
4. [停止（Stop）] を選択してサービスを停止します。

   

コマンド プロンプト

管理者のコマンド プロンプトから FireAMP Connector サービスを停止するには、次の手順を実行します。

1. [スタート（Start）] メニューに移動します。
2. 「cmd.exe」と入力して、Enter キーを押します。コマンド プロンプト ウィンドウが開きます。
3. net stop immunetprotect コマンドを入力します。バージョン5.0.1以降の場合は、wmic service where "name like 'immunetprotect%'" call startserviceコマンドを代わりに入力します。

   このスクリーンショットは、正常に停止されたサービスの例を示しています。

   

手順2：必要なデータベースファイルを削除する

キャッシュ データベース ファイル

サービスが停止したら、次の 3 つのキャッシュ ファイルを削除できます。

警告：関連するすべてのキャッシュデータベースファイルを削除しないと、再作成されたデータベースのキャッシュの問題が発生する可能性があります。その場合は、サービスが開始しないか、サービスのパフォーマンスが低下する可能性があります。

cache.db
cache.db-shm
cache.db-wal

履歴データベース ファイル

サービスが停止したら、次の履歴データベース ファイルを削除します。

警告：関連する履歴データベースファイルをすべて削除しないと、再作成されたデータベースのキャッシュの問題が発生する可能性があります。その場合は、サービスが開始しないか、サービスのパフォーマンスが低下する可能性があります。

history.db
historyex.db
historyex.db-shm
historyex.db-wal

ステップ3:FireAMP Connectorサービスの開始

FireAMP Connector サービスを開始するには、次の手順を実行します。

1. [スタート（Start）] メニューに移動します。
2. 「services.msc」と入力して、Enter キーを押します。サービス コンソールが開きます。
3. [FireAMP Connector] サービスを選択して、サービス名を右クリックします。
4. [開始（Start）] を選択してサービスを開始します。

   

   または、管理者のコマンド プロンプトで、net start immunetprotect コマンドを入力します。バージョン5.0.1以降の場合は、wmic service where "name like 'immunetprotect%'" call startserviceコマンドを代わりに入力します。

   このスクリーンショットは、正常に開始されたサービスの例を示しています。

   

   サービスが再起動したら、新しいデータベース ファイルのセットが作成されます。これで、現在のホワイト リスト、ブロック リスト、除外などを含む FireAMP Connector の新しいインスタンスが表示されるはずです。