Remoção do cache do FireAMP e dos arquivos de histórico no Windows
Contents
Introdução
Este documento fornece alguns cenários que exigem a remoção de arquivos de banco de dados no FireAMP para endpoints e descreve um procedimento adequado para removê-los quando necessário. O FireAMP para endpoints mantém um registro de suas detecções e disposições recentes de arquivos em arquivos de banco de dados. Em certos casos, um engenheiro de suporte da Cisco pode pedir que você remova alguns dos arquivos do banco de dados para solucionar um problema.
Arquivos de Banco de Dados para Cache e Histórico
Propósito
Os arquivos do banco de dados em cache mantêm as disposições conhecidas para os arquivos. Os arquivos do banco de dados de histórico controlam todas as detecções de arquivos do FireAMP, juntamente com nomes de arquivos de origem e valores SHA256.
Quando você adiciona uma lista de bloqueio a uma política e atualiza o conector, o comportamento de um determinado arquivo não é alterado imediatamente. Isso ocorre porque o cache já identificou que o arquivo não é mal-intencionado. Como tal, ele não será alterado ou substituído pela sua lista de bloqueios. A disposição muda quando o cache expira conforme o tempo em sua política e uma nova pesquisa é realizada - primeiro em suas listas e, subsequentemente, na nuvem.
Motivos da Remoção
Se os arquivos do banco de dados de histórico e do banco de dados de cache forem removidos de um diretório, eles serão recriados quando o serviço FireAMP for reiniciado. Em alguns casos, pode ser necessário remover esses arquivos do diretório do FireAMP. Por exemplo, se você quiser testar uma detecção personalizada simples ou uma lista de bloqueio de aplicativos para um determinado arquivo.
É possível que um banco de dados seja corrompido, o que o impossibilita de abrir ou exibir as detecções em um banco de dados. Como alternativa, se o banco de dados estiver corrompido em um sistema, ele poderá causar erros no serviço do FireAMP Connector, como a incapacidade de iniciar o conector ou a degradação do desempenho geral do sistema. Nesses casos, talvez você queira limpar os arquivos de histórico do conector para que possa evitar que problemas relacionados ao desempenho sejam corrompidos e capturar novos logs para diagnóstico.
Identificar os Arquivos do Banco de Dados
No Microsoft Windows, esses arquivos geralmente estão localizados em C:\Program Files\Sourcefire\fireAMP ou C:\Program Files\Cisco\AMP.
Os nomes dos arquivos de banco de dados do cache são:
cache.db
cache.db-shm
cache.db-wal
Os nomes dos arquivos de banco de dados de histórico são:
history.db
historyex.db
historyex.db-shm
historyex.db-wal
Esta captura de tela mostra os arquivos no Explorador de Arquivos do Windows:
Procedimento para remover arquivos do banco de dados
Etapa 1: Interrompa o FireAMP Connector Service
Você pode interromper o serviço do FireAMP Connector de várias maneiras:
- Interface do usuário (UI) do serviço do FireAMP Connector
- Console de Serviços do Windows
- Prompt de comando do administrador
Interface de usuário
- Abra a interface do usuário na bandeja e clique em Settings.
- Role até a parte inferior e expanda FireAMP Connector Settings.
- No campo Senha, insira a senha de proteção do conector. Clique em Stop Service.
Console de serviços
Para interromper o serviço do FireAMP Connector no console Services, siga estas etapas:
- Navegue até o Menu Iniciar.
- Insira services.msc e pressione Enter. O console Serviços é aberto.
- Selecione o serviço FireAMP Connector e clique com o botão direito no nome do serviço.
- Escolha Stop para parar o serviço.
Prompt de comando
Para interromper o serviço do FireAMP Connector no prompt de comando de um administrador, siga estas etapas:
- Navegue até o Menu Iniciar.
- Digite cmd.exe e pressione Enter. Uma janela de prompt de comando é aberta.
- Insira o comando net stop immunetprotect. Se você tiver a versão 5.0.1 ou posterior, insira o serviço wmic, onde "name like 'immunetprotect%'" chama o comando startservice.
Esta captura de tela mostra um exemplo do serviço parado com êxito:
Etapa 2: Exclua os arquivos de banco de dados necessários
Arquivos de Banco de Dados em Cache
Quando o serviço for interrompido, você poderá excluir estes três arquivos de cache:
cache.db
cache.db-shm
cache.db-wal
Arquivos do Banco de Dados de Histórico
Quando o serviço for interrompido, remova estes arquivos de banco de dados de histórico:
history.db
historyex.db
historyex.db-shm
historyex.db-wal
Etapa 3: Inicie o FireAMP Connector Service
Para iniciar o serviço do FireAMP Connector, siga estas etapas:
- Navegue até o Menu Iniciar.
- Insira services.msc e pressione Enter. O console Serviços é aberto.
- Escolha o serviço FireAMP Connector e clique com o botão direito do mouse no nome do serviço.
- Escolha Start para iniciar o serviço.
Como alternativa, no prompt de comando do Administrador, você pode digitar o comando net start immunetprotect. Se você tiver a versão 5.0.1 ou posterior, insira o serviço wmic, onde "name like 'immunetprotect%'" chama o comando startservice.
Esta captura de tela mostra um exemplo do serviço iniciado com êxito:
Depois que você reiniciar os serviços, um novo conjunto de arquivos de banco de dados será criado. Isso agora deve fornecer uma nova instância do FireAMP Connector com listas brancas, listas de bloqueio, exclusões e assim por diante.
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
01-Oct-2014 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)