Einleitung
In diesem Dokument werden einige Szenarien beschrieben, in denen Datenbankdateien in FireAMP für Endgeräte entfernt werden müssen. Außerdem wird beschrieben, wie Sie diese bei Bedarf entfernen. FireAMP für Endgeräte speichert alle zuletzt erkannten Dateien und deren Status in Datenbankdateien. In bestimmten Fällen kann ein Cisco Support-Techniker Sie bitten, einige der Datenbankdateien zu entfernen, um ein Problem zu beheben.
Warnung: Sie können eine Datenbankdatei nur entfernen, wenn Sie vom technischen Support von Cisco dazu aufgefordert werden.
Datenbankdateien für Cache und Verlauf
Zweck
Die Cache-Datenbankdateien behalten die bekannten Dispositionen für Dateien bei. Die Verlaufsdatenbankdateien verfolgen alle FireAMP-Dateierkennungen sowie die Namen der Quelldateien und die SHA256-Werte.
Wenn Sie einer Richtlinie eine Blockliste hinzufügen und den Connector aktualisieren, ändert sich das Verhalten für eine bestimmte Datei nicht sofort. Der Grund dafür ist, dass der Cache bereits erkannt hat, dass die Datei nicht schädlich ist. Daher wird sie von Ihrer Sperrliste weder geändert noch überschrieben. Die Einstufung ändert sich, wenn der Cache zu einem bestimmten Zeitpunkt in Ihrer Richtlinie abgelaufen ist und eine neue Suche durchgeführt wird - zuerst in Ihren Listen und anschließend in der Cloud.
Gründe für die Entfernung
Wenn die Verlaufsdatenbank und die Cache-Datenbankdateien aus einem Verzeichnis entfernt werden, werden sie beim Neustart des FireAMP-Service neu erstellt. In bestimmten Fällen kann es erforderlich sein, diese Dateien aus dem FireAMP-Verzeichnis zu entfernen. Wenn Sie beispielsweise eine einfache benutzerdefinierte Erkennung oder eine Anwendungsblockliste für eine bestimmte Datei testen möchten.
Es ist möglich, dass eine Datenbank beschädigt wird, sodass Sie die Entdeckungen in einer Datenbank nicht öffnen oder anzeigen können. Wenn die Datenbank in einem System fehlerhaft ist, kann dies zu Fehlern im FireAMP Connector-Service führen, z. B. dazu, dass der Connector nicht gestartet werden kann, oder zu einer Beeinträchtigung der Gesamtsystemleistung. In diesen Fällen sollten Sie die Verlaufsdateien aus dem Connector löschen, damit Sie leistungsbezogene Probleme vor Beschädigungen schützen und neue Protokolle zur Diagnose erfassen können.
Identifizieren der Datenbankdateien
Unter Microsoft Windows befinden sich diese Dateien normalerweise unter C:\Program Files\Sourcefire\fireAMP oder C:\Program Files\Cisco\AMP.
Der Name der Cache-Datenbankdateien lautet:
cache.db
cache.db-shm
cache.db-wal
Der Name der Verlaufsdatenbankdateien lautet:
history.db
historyex.db
historyex.db-shm
historyex.db-wal
Dieser Screenshot zeigt die Dateien im Windows-Datei-Explorer:
Vorgehensweise zum Entfernen von Datenbankdateien
Schritt 1: Beenden des FireAMP Connector-Service
Sie können den FireAMP Connector-Service auf verschiedene Weise stoppen:
- Benutzeroberfläche des FireAMP Connector-Service
- Windows Services-Konsole
- Eingabeaufforderung des Administrators
Benutzeroberfläche
Hinweis: Wenn der Konnektorschutz aktiviert ist, müssen Sie die Benutzeroberfläche verwenden, um den FireAMP Connector-Dienst zu beenden.
- Öffnen Sie die Benutzeroberfläche in der Taskleiste, und klicken Sie auf Einstellungen.
- Blättern Sie nach unten, und erweitern Sie FireAMP Connector Settings.
- Geben Sie im Feld Password (Kennwort) das Kennwort für den Connectorschutz ein. Klicken Sie auf Dienst beenden.
Service-Konsole
Hinweis: Um Dienste in der Konsole Dienste anzuhalten und zu starten, benötigen Sie Administratorrechte.
Führen Sie die folgenden Schritte aus, um den FireAMP Connector-Dienst von der Konsole "Services" aus zu beenden:
- Navigieren Sie zum Startmenü.
- Geben Sie services.msc ein, und drücken Sie die Eingabetaste. Die Konsole "Dienste" wird geöffnet.
- Wählen Sie den FireAMP Connector-Service aus, und klicken Sie mit der rechten Maustaste auf den Servicenamen.
- Wählen Sie Stopp, um den Dienst zu beenden.
Eingabeaufforderung
Führen Sie die folgenden Schritte aus, um den FireAMP Connector-Dienst an der Eingabeaufforderung eines Administrators zu beenden:
- Navigieren Sie zum Startmenü.
- Geben Sie cmd.exe ein, und drücken Sie die Eingabetaste. Ein Eingabeaufforderungsfenster wird geöffnet.
- Geben Sie den Befehl net stop immunetprotect ein. Wenn Sie Version 5.0.1 oder höher haben, geben Sie den Befehl wmic service ein, wobei "name like 'immunetprotect%'" den Befehl startservice aufruft.
Dieser Screenshot zeigt ein Beispiel für den erfolgreich gestoppten Dienst:
Schritt 2: Löschen der erforderlichen Datenbankdateien
Cache-Datenbankdateien
Sobald der Dienst beendet ist, können Sie diese drei Cache-Dateien löschen:
Warnung: Wenn Sie nicht alle zugehörigen Cache-Datenbankdateien löschen, kann es zu Zwischenspeicherungsproblemen mit der neu erstellten Datenbank kommen. Daher kann der Dienst möglicherweise nicht gestartet werden, oder die Leistung des Diensts kann sich verschlechtern.
cache.db
cache.db-shm
cache.db-wal
Verlaufsdatenbankdateien
Wenn der Dienst beendet wurde, entfernen Sie die folgenden Verlaufsdatenbankdateien:
Warnung: Wenn Sie nicht alle zugehörigen Verlaufsdatenbankdateien löschen, kann es zu Zwischenspeicherungsproblemen mit der neu erstellten Datenbank kommen. Daher kann der Dienst möglicherweise nicht gestartet werden, oder die Leistung des Diensts kann sich verschlechtern.
history.db
historyex.db
historyex.db-shm
historyex.db-wal
Schritt 3: Starten des FireAMP Connector-Service
Führen Sie die folgenden Schritte aus, um den FireAMP Connector-Service zu starten:
- Navigieren Sie zum Startmenü.
- Geben Sie services.msc ein, und drücken Sie die Eingabetaste. Die Konsole "Dienste" wird geöffnet.
- Wählen Sie den FireAMP Connector-Service aus, und klicken Sie mit der rechten Maustaste auf den Servicenamen.
- Wählen Sie Start aus, um den Dienst zu starten.
Alternativ können Sie an der Eingabeaufforderung des Administrators den Befehl net start immunetprotect eingeben. Wenn Sie Version 5.0.1 oder höher haben, geben Sie den Befehl wmic service ein, wobei "name like 'immunetprotect%'" den Befehl startservice aufruft.
Dieser Screenshot zeigt ein Beispiel des erfolgreich gestarteten Dienstes:
Nach dem Neustart der Dienste wird ein neuer Satz von Datenbankdateien erstellt. Dadurch erhalten Sie eine neue Instanz von FireAMP Connector mit aktuellen Whitelists, Blocklisten, Ausschlüssen usw.