删除Windows上的FireAMP缓存和历史记录文件
目录
简介
本文档提供一些需要删除面向终端的FireAMP中的数据库文件的场景,并介绍在必要时删除这些文件的正确步骤。面向终端的FireAMP在数据库文件中维护其最近文件检测和处置的记录。在某些情况下,Cisco支持工程师可能会要求您删除一些数据库文件,以便排除故障。
用于缓存和历史记录的数据库文件
目的
高速缓存数据库文件维护文件的已知性质。历史记录数据库文件跟踪所有FireAMP文件检测,以及源文件名和SHA256值。
当您将阻止列表添加到策略并更新连接器时,不会立即更改给定文件的行为。这是因为缓存已识别出该文件不是恶意文件。因此,阻止列表不会更改或覆盖它。当缓存按策略中的时间到期且执行新查找时,处置情况会更改-首先根据列表进行查找,然后根据云进行查找。
删除原因
如果从目录中删除历史数据库和缓存数据库文件,则在FireAMP服务重新启动时重新创建它们。在某些情况下,可能需要从FireAMP目录中删除这些文件。例如,如果要测试给定文件的简单自定义检测或应用阻止列表。
数据库可能损坏,导致无法打开或查看数据库中的检测项。或者,如果系统上的数据库损坏,则可能导致FireAMP连接器服务出错,例如无法启动连接器或整体系统性能下降。在这些情况下,您可能希望从连接器清除历史记录文件,以避免性能相关问题损坏,并捕获新日志以便进行诊断。
标识数据库文件
在Microsoft Windows上,这些文件通常位于C:\Program Files\Sourcefire\fireAMP或C:\Program Files\Cisco\AMP。
缓存数据库文件的名称是:
cache.db
cache.db-shm
cache.db-wal
历史记录数据库文件的名称是:
history.db
historyex.db
historyex.db-shm
historyex.db-wal
此屏幕截图显示Windows文件资源管理器上的文件:
删除数据库文件的过程
第1步:停止FireAMP连接器服务
您可以通过多种方式停止FireAMP连接器服务:
- FireAMP连接器服务的用户界面(UI)
- Windows服务控制台
- 管理员的命令提示符
用户界面
- 从任务栏中打开UI,然后单击设置。
- 滚动到底部,展开FireAMP Connector Settings。
- 在Password字段中,输入连接器保护密码。单击Stop Service。
服务控制台
要从服务控制台停止FireAMP连接器服务,请完成以下步骤:
- 导航到开始菜单。
- 输入services.msc,然后按Enter。将打开“服务”控制台。
- 选择FireAMP连接器服务,然后右键单击该服务名称。
- 选择停止以停止服务。
命令提示符
要从管理员的命令提示符停止FireAMP连接器服务,请完成以下步骤:
- 导航到开始菜单。
- 输入cmd.exe并按Enter。将会打开命令提示符窗口。
- 输入net stop immunetprotect命令。如果您使用版本5.0.1或更高版本,请输入wmic service,其中“name like 'immunetprotect%'” call startservice命令。
此屏幕截图显示了成功停止的服务的示例:
步骤2:删除所需的数据库文件
缓存数据库文件
服务停止后,您可以删除以下三个缓存文件:
cache.db
cache.db-shm
cache.db-wal
历史记录数据库文件
停止服务后,请删除以下历史记录数据库文件:
history.db
historyex.db
historyex.db-shm
historyex.db-wal
第3步:启动FireAMP连接器服务
要启动FireAMP连接器服务,请完成以下步骤:
- 导航到开始菜单。
- 输入services.msc,然后按Enter。将打开“服务”控制台。
- 选择FireAMP连接器服务,然后右键单击服务名称。
- 选择Start以启动服务。
或者,在管理员的命令提示符下,您可以输入net start immunetprotect命令。如果您使用版本5.0.1或更高版本,请输入wmic service,其中“name like 'immunetprotect%'” call startservice命令。
此屏幕截图显示了成功启动的服务示例:
重新启动服务后,将创建一组新的数据库文件。这应该现在为您提供一个FireAMP连接器的新实例,其中包含当前白名单、阻止列表、例外项等等。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
01-Oct-2014 |
初始版本 |
反馈