Entfernen des FireAMP-Cache und der Verlaufsdateien unter Windows

Download-Optionen

  • PDF     (762.7 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (721.5 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (530.2 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:21. März 2017
Dokument-ID:118565

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument werden einige Szenarien beschrieben, in denen Datenbankdateien in FireAMP für Endgeräte entfernt werden müssen. Außerdem wird beschrieben, wie Sie diese bei Bedarf entfernen. FireAMP für Endgeräte speichert alle zuletzt erkannten Dateien und deren Status in Datenbankdateien. In bestimmten Fällen kann ein Cisco Support-Techniker Sie bitten, einige der Datenbankdateien zu entfernen, um ein Problem zu beheben.

Warnung: Sie können eine Datenbankdatei nur entfernen, wenn Sie vom technischen Support von Cisco dazu aufgefordert werden.

Datenbankdateien für Cache und Verlauf

Zweck

Die Cache-Datenbankdateien behalten die bekannten Dispositionen für Dateien bei. Die Verlaufsdatenbankdateien verfolgen alle FireAMP-Dateierkennungen sowie die Namen der Quelldateien und die SHA256-Werte.

Wenn Sie einer Richtlinie eine Blockliste hinzufügen und den Connector aktualisieren, ändert sich das Verhalten für eine bestimmte Datei nicht sofort. Der Grund dafür ist, dass der Cache bereits erkannt hat, dass die Datei nicht schädlich ist. Daher wird sie von Ihrer Sperrliste weder geändert noch überschrieben. Die Einstufung ändert sich, wenn der Cache zu einem bestimmten Zeitpunkt in Ihrer Richtlinie abgelaufen ist und eine neue Suche durchgeführt wird - zuerst in Ihren Listen und anschließend in der Cloud.

Gründe für die Entfernung

Wenn die Verlaufsdatenbank und die Cache-Datenbankdateien aus einem Verzeichnis entfernt werden, werden sie beim Neustart des FireAMP-Service neu erstellt. In bestimmten Fällen kann es erforderlich sein, diese Dateien aus dem FireAMP-Verzeichnis zu entfernen. Wenn Sie beispielsweise eine einfache benutzerdefinierte Erkennung oder eine Anwendungsblockliste für eine bestimmte Datei testen möchten.

Es ist möglich, dass eine Datenbank beschädigt wird, sodass Sie die Entdeckungen in einer Datenbank nicht öffnen oder anzeigen können. Wenn die Datenbank in einem System fehlerhaft ist, kann dies zu Fehlern im FireAMP Connector-Service führen, z. B. dazu, dass der Connector nicht gestartet werden kann, oder zu einer Beeinträchtigung der Gesamtsystemleistung. In diesen Fällen sollten Sie die Verlaufsdateien aus dem Connector löschen, damit Sie leistungsbezogene Probleme vor Beschädigungen schützen und neue Protokolle zur Diagnose erfassen können.

Identifizieren der Datenbankdateien

Unter Microsoft Windows befinden sich diese Dateien normalerweise unter C:\Program Files\Sourcefire\fireAMP oder C:\Program Files\Cisco\AMP.

Der Name der Cache-Datenbankdateien lautet:

cache.db
cache.db-shm
cache.db-wal

Der Name der Verlaufsdatenbankdateien lautet:

history.db
historyex.db
historyex.db-shm
historyex.db-wal

Dieser Screenshot zeigt die Dateien im Windows-Datei-Explorer:

118565-technote-fireamp-00-00.png

Vorgehensweise zum Entfernen von Datenbankdateien

Schritt 1: Beenden des FireAMP Connector-Service

Sie können den FireAMP Connector-Service auf verschiedene Weise stoppen:

  • Benutzeroberfläche des FireAMP Connector-Service
  • Windows Services-Konsole
  • Eingabeaufforderung des Administrators

Benutzeroberfläche

Hinweis: Wenn der Konnektorschutz aktiviert ist, müssen Sie die Benutzeroberfläche verwenden, um den FireAMP Connector-Dienst zu beenden.

  1. Öffnen Sie die Benutzeroberfläche in der Taskleiste, und klicken Sie auf Einstellungen.
  2. Blättern Sie nach unten, und erweitern Sie FireAMP Connector Settings.
  3. Geben Sie im Feld Password (Kennwort) das Kennwort für den Connectorschutz ein. Klicken Sie auf Dienst beenden.

    118565-technote-fireamp-00-01.png

Service-Konsole

Hinweis: Um Dienste in der Konsole Dienste anzuhalten und zu starten, benötigen Sie Administratorrechte.

Führen Sie die folgenden Schritte aus, um den FireAMP Connector-Dienst von der Konsole "Services" aus zu beenden:

  1. Navigieren Sie zum Startmenü.
  2. Geben Sie services.msc ein, und drücken Sie die Eingabetaste. Die Konsole "Dienste" wird geöffnet.
  3. Wählen Sie den FireAMP Connector-Service aus, und klicken Sie mit der rechten Maustaste auf den Servicenamen.
  4. Wählen Sie Stopp, um den Dienst zu beenden.

    118565-technote-fireamp-00-02.png

Eingabeaufforderung

Führen Sie die folgenden Schritte aus, um den FireAMP Connector-Dienst an der Eingabeaufforderung eines Administrators zu beenden:

  1. Navigieren Sie zum Startmenü.
  2. Geben Sie cmd.exe ein, und drücken Sie die Eingabetaste. Ein Eingabeaufforderungsfenster wird geöffnet.
  3. Geben Sie den Befehl net stop immunetprotect ein. Wenn Sie Version 5.0.1 oder höher haben, geben Sie den Befehl wmic service ein, wobei "name like 'immunetprotect%'" den Befehl startservice aufruft.

    Dieser Screenshot zeigt ein Beispiel für den erfolgreich gestoppten Dienst:

    118565-technote-fireamp-00-03.png

Schritt 2: Löschen der erforderlichen Datenbankdateien

Cache-Datenbankdateien

Sobald der Dienst beendet ist, können Sie diese drei Cache-Dateien löschen:

Warnung: Wenn Sie nicht alle zugehörigen Cache-Datenbankdateien löschen, kann es zu Zwischenspeicherungsproblemen mit der neu erstellten Datenbank kommen. Daher kann der Dienst möglicherweise nicht gestartet werden, oder die Leistung des Diensts kann sich verschlechtern.

cache.db
cache.db-shm
cache.db-wal

Verlaufsdatenbankdateien

Wenn der Dienst beendet wurde, entfernen Sie die folgenden Verlaufsdatenbankdateien:

Warnung: Wenn Sie nicht alle zugehörigen Verlaufsdatenbankdateien löschen, kann es zu Zwischenspeicherungsproblemen mit der neu erstellten Datenbank kommen. Daher kann der Dienst möglicherweise nicht gestartet werden, oder die Leistung des Diensts kann sich verschlechtern.

history.db
historyex.db
historyex.db-shm
historyex.db-wal

Schritt 3: Starten des FireAMP Connector-Service

Führen Sie die folgenden Schritte aus, um den FireAMP Connector-Service zu starten:

  1. Navigieren Sie zum Startmenü.
  2. Geben Sie services.msc ein, und drücken Sie die Eingabetaste. Die Konsole "Dienste" wird geöffnet.
  3. Wählen Sie den FireAMP Connector-Service aus, und klicken Sie mit der rechten Maustaste auf den Servicenamen.
  4. Wählen Sie Start aus, um den Dienst zu starten.

    118565-technote-fireamp-00-04.png

    Alternativ können Sie an der Eingabeaufforderung des Administrators den Befehl net start immunetprotect eingeben. Wenn Sie Version 5.0.1 oder höher haben, geben Sie den Befehl wmic service ein, wobei "name like 'immunetprotect%'" den Befehl startservice aufruft.

    Dieser Screenshot zeigt ein Beispiel des erfolgreich gestarteten Dienstes:

    118565-technote-fireamp-00-05.png

    Nach dem Neustart der Dienste wird ein neuer Satz von Datenbankdateien erstellt. Dadurch erhalten Sie eine neue Instanz von FireAMP Connector mit aktuellen Whitelists, Blocklisten, Ausschlüssen usw.

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
01-Oct-2014
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Nazmul Rajib
    Cisco TAC Engineer
  • Alexander Dipasquale
    Cisco TAC Engineer

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.