Windows에서 FireAMP 캐시 및 기록 파일 제거

소개

이 문서에서는 FireAMP for Endpoints에서 데이터베이스 파일을 제거해야 하는 몇 가지 시나리오를 소개하고 필요할 때 해당 파일을 제거하는 적절한 절차에 대해 설명합니다. FireAMP for Endpoints는 최근 파일 탐지 및 성향 레코드를 데이터베이스 파일에 유지 관리합니다. 경우에 따라 Cisco 지원 엔지니어가 문제를 해결하기 위해 일부 데이터베이스 파일을 제거하도록 요청할 수 있습니다.

경고: Cisco 기술 지원부에서 지시하는 경우에만 데이터베이스 파일을 제거할 수 있습니다.

캐시 및 기록에 대한 데이터베이스 파일

목적

캐시 데이터베이스 파일은 파일에 대한 알려진 속성을 유지합니다. 기록 데이터베이스 파일은 소스 파일 이름 및 SHA256 값과 함께 모든 FireAMP 파일 탐지를 추적합니다.

차단 목록을 정책에 추가하고 커넥터를 업데이트하면 지정된 파일의 동작이 즉시 변경되지 않습니다. 캐시에서 파일이 악성이 아님을 이미 식별했기 때문입니다. 따라서 차단 목록에 의해 변경되거나 재정의되지 않습니다. 캐시가 정책의 시간마다 만료되고 새 조회가 수행될 때 성향이 변경됩니다. 먼저 목록에 대해, 그 다음에는 클라우드에 대해 수행됩니다.

제거 이유

기록 데이터베이스 및 캐시 데이터베이스 파일이 디렉토리에서 제거된 경우 FireAMP 서비스가 다시 시작될 때 새로 다시 생성됩니다. 경우에 따라 FireAMP 디렉토리에서 이러한 파일을 제거해야 할 수도 있습니다. 예를 들어, 지정된 파일에 대해 간단한 사용자 지정 탐지 또는 애플리케이션 차단 목록을 테스트하려는 경우

데이터베이스가 손상되어 데이터베이스에서 탐지를 열거나 볼 수 없게 될 수 있습니다. 또는 데이터베이스가 시스템에서 손상된 경우 FireAMP Connector 서비스 내에서 커넥터 시작 불가 또는 전체 시스템 성능 저하 등의 오류를 일으킬 수 있습니다. 이러한 경우 커넥터에서 기록 파일을 지워 성능 관련 문제가 손상되지 않도록 하고 진단을 위해 새 로그를 캡처할 수 있습니다.

데이터베이스 파일 식별

Microsoft Windows에서 이러한 파일은 일반적으로 C:\Program Files\Sourcefire\fireAMP 또는 C:\Program Files\Cisco\AMP에 있습니다.

캐시 데이터베이스 파일의 이름은 다음과 같습니다.

cache.db
cache.db-shm
cache.db-wal

기록 데이터베이스 파일의 이름은 다음과 같습니다.

history.db
historyex.db
historyex.db-shm
historyex.db-wal

이 스크린샷은 Windows 파일 탐색기의 파일을 보여 줍니다.

데이터베이스 파일 제거 절차

1단계: FireAMP Connector 서비스 중지

FireAMP Connector 서비스는 다양한 방법으로 중지할 수 있습니다.

• FireAMP Connector 서비스의 UI(사용자 인터페이스)
• Windows 서비스 콘솔
• 관리자의 명령 프롬프트

사용자 인터페이스

참고: 커넥터 보호를 활성화한 경우 FireAMP Connector 서비스를 중지하려면 UI를 사용해야 합니다.

1. 트레이에서 UI를 열고 Settings(설정)를 클릭합니다.
2. 아래로 스크롤하여 FireAMP Connector Settings(FireAMP Connector 설정)를 확장합니다.
3. Password(비밀번호) 필드에 커넥터 보호 비밀번호를 입력합니다. 서비스 중지를 클릭합니다.

   

서비스 콘솔

주: 서비스 콘솔에서 서비스를 중지하고 시작하려면 관리자 권한이 필요합니다.

서비스 콘솔에서 FireAMP Connector 서비스를 중지하려면 다음 단계를 완료하십시오.

1. 시작 메뉴로 이동합니다.
   
2. services.msc를 입력하고 Enter 키를 누릅니다. 서비스 콘솔이 열립니다.
3. FireAMP Connector 서비스를 선택하고 서비스 이름을 마우스 오른쪽 버튼으로 클릭합니다.
4. 서비스를 중지하려면 중지를 선택합니다.

   

명령 프롬프트

관리자의 명령 프롬프트에서 FireAMP Connector 서비스를 중지하려면 다음 단계를 완료하십시오.

1. 시작 메뉴로 이동합니다.
2. cmd.exe를 입력하고 Enter 키를 누릅니다. 명령 프롬프트 창이 열립니다.
3. net stop immunetprotect 명령을 입력합니다. 버전 5.0.1 이상인 경우 wmic service를 입력합니다. 여기서 "name like 'immunetprotect%'" call startservice 명령을 호출합니다.

   이 스크린샷은 서비스가 성공적으로 중단된 예를 보여줍니다.

   

2단계: 필요한 데이터베이스 파일 삭제

데이터베이스 파일 캐시

서비스가 중지되면 다음 세 개의 캐시 파일을 삭제할 수 있습니다.

경고: 모든 관련 캐시 데이터베이스 파일을 삭제하지 않으면 다시 생성된 데이터베이스에 캐싱 문제가 발생할 수 있습니다. 따라서 서비스를 시작하지 못하거나 서비스의 성능이 저하될 수 있습니다.

cache.db
cache.db-shm
cache.db-wal

기록 데이터베이스 파일

서비스가 중지되면 다음 기록 데이터베이스 파일을 제거합니다.

경고: 관련된 기록 데이터베이스 파일을 모두 삭제하지 않으면 다시 생성된 데이터베이스에 캐싱 문제가 발생할 수 있습니다. 따라서 서비스를 시작하지 못하거나 서비스의 성능이 저하될 수 있습니다.

history.db
historyex.db
historyex.db-shm
historyex.db-wal

3단계: FireAMP Connector 서비스 시작

FireAMP Connector 서비스를 시작하려면 다음 단계를 완료하십시오.

1. 시작 메뉴로 이동합니다.
2. services.msc를 입력하고 Enter 키를 누릅니다. 서비스 콘솔이 열립니다.
3. FireAMP Connector 서비스를 선택하고 서비스 이름을 마우스 오른쪽 버튼으로 클릭합니다.
4. 서비스를 시작하려면 Start(시작)를 선택합니다.

   

   또는 관리자의 명령 프롬프트에서 net start immunetprotect 명령을 입력할 수 있습니다. 버전 5.0.1 이상인 경우 wmic service를 입력합니다. 여기서 "name like 'immunetprotect%'" call startservice 명령을 호출합니다.

   이 스크린샷은 서비스가 성공적으로 시작된 예를 보여줍니다.

   

   서비스를 다시 시작하면 새 데이터베이스 파일 집합이 생성됩니다. 이제 FireAMP Connector의 새로운 인스턴스를 최신 화이트리스트, 차단 목록, 제외 등과 함께 제공해야 합니다.