刪除Windows上的FireAMP快取和歷史記錄檔案
目錄
簡介
本文檔提供一些需要刪除面向終端的FireAMP中的資料庫檔案的場景,並介紹在必要時刪除這些檔案的正確過程。面向終端的FireAMP在資料庫檔案中維護其最近的檔案檢測和處置記錄。在某些情況下,思科支援工程師可能會要求您刪除一些資料庫檔案,以便排除故障。
用於快取記憶體和歷史記錄的資料庫檔案
目的
快取記憶體資料庫檔案維護檔案的已知性質。歷史記錄資料庫檔案跟蹤所有FireAMP檔案檢測,以及源檔名和SHA256值。
將阻止清單增加到策略並更新聯結器時,不會立即更改給定檔案的行為。這是因為快取已辨識出該檔案不是惡意檔案。因此,阻止清單不會更改或覆蓋它。當快取在您的策略中到期且執行新查詢時,處理方式會更改-首先針對您的清單,然後針對雲。
移除原因
如果從目錄中刪除歷史記錄資料庫和快取資料庫檔案,則在FireAMP服務重新啟動時重新建立它們。在某些情況下,可能需要從FireAMP目錄中刪除這些檔案。例如,如果要測試給定檔案的簡單自定義檢測或應用程式阻止清單。
資料庫可能會損毀,導致您無法開啟或檢視資料庫中的偵測專案。或者,如果系統上的資料庫已損壞,則可能導致FireAMP聯結器服務中出錯,例如無法啟動聯結器或整體系統效能下降。在這些情況下,您可能希望從聯結器清除歷史記錄檔案,以避免效能相關問題損壞,並能夠捕獲新日誌以供診斷。
辨識資料庫檔案
在Microsoft Windows上,這些檔案通常位於C:\Program Files\Sourcefire\fireAMP或C:\Program Files\Cisco\AMP。
快取資料庫檔案的名稱是:
cache.db
cache.db-shm
cache.db-wal
歷史記錄資料庫檔案的名稱如下:
history.db
historyex.db
historyex.db-shm
historyex.db-wal
此擷取畫面顯示Windows檔案總管上的檔案:
移除資料庫檔案的程式
步驟1:停止FireAMP聯結器服務
可以透過多種方式停止FireAMP聯結器服務:
- FireAMP聯結器服務的使用者介面(UI)
- Windows服務控制檯
- 管理員的命令提示符
使用者介面
- 從托盤中打開UI,然後按一下Settings。
- 滾動到底部,然後展開FireAMP Connector Settings。
- 在「密碼」欄位中,輸入聯結器保護密碼。按一下Stop Service。
服務主控台
要從服務控制檯停止FireAMP聯結器服務,請完成以下步驟:
- 導航到開始功能表。
- 輸入services.msc,然後按Enter。「服務」控制檯打開。
- 選擇FireAMP Connector服務,然後按一下右鍵服務名稱。
- 選擇停止以停止服務。
命令提示字元
要從管理員的命令提示符停止FireAMP聯結器服務,請完成以下步驟:
- 導航到開始功能表。
- 輸入cmd.exe,然後按Enter。此時將打開命令提示符窗口。
- 輸入net stop immunetprotect命令。如果您使用的是5.0.1或更高版本,請輸入wmic service,其中「name like 'immunetprotect%'」call startservice命令代替。
此擷取畫面顯示已成功停止服務的範例:
步驟2:刪除所需的資料庫檔案
快取資料庫檔案
服務停止後,您可以刪除以下三個快取檔案:
cache.db
cache.db-shm
cache.db-wal
歷史記錄資料庫檔案
服務停止後,請移除下列歷程記錄資料庫檔案:
history.db
historyex.db
historyex.db-shm
historyex.db-wal
第3步:啟動FireAMP聯結器服務
要啟動FireAMP聯結器服務,請完成以下步驟:
- 導航到開始功能表。
- 輸入services.msc,然後按Enter。「服務」控制檯打開。
- 選擇FireAMP Connector服務,然後按一下右鍵服務名稱。
- 選擇Start以啟動服務。
或者,在管理員的命令提示符下,您可以輸入net start immunetprotect命令。如果您使用的是5.0.1或更高版本,請輸入wmic service,其中「name like 'immunetprotect%'」call startservice命令代替。
此擷取畫面顯示已成功啟動服務的範例:
重新啟動服務後,將建立一組新的資料庫檔案。這應該會提供您新的FireAMP聯結器例項,其中包含當前白名單、阻止清單、排除項等。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
01-Oct-2014 |
初始版本 |
意見