对排除FireAMP指南在Windows.PDFVIP

对排除的FireAMP指南在Windows 目录 简介 如何查找检测的文件 C:\Program文件 C:\Program数据 C:\Users C:\Windows 支持的排除类型 什么时候排除 症状 验证 故障排除 版本5.0+ 相关文档 简介 本文提供一个指南关于怎样查找检测的文件并且描述进程排除他们。当您管理终端的(亦称 FireAMP)时思科安培在计算机，您也许遇到性能问题在应用程序或在计算机。这也许发生由于额外 的读/写操作，传呼或者连接。这能导致与要求不包括文件句柄的应用程序的问题，例如数据库应用 程序或报告软件。 警告：排除减少您的覆盖区域。当您排除文件夹或文件时， FireAMP不在该文件夹内扫描。 为了避免额外的文件排除，您应该特定若情况许可。 如何查找检测的文件 当您要排除文件时，您能采取一清楚的方法或写入非常详细的排除以通配符为了报道一个受影响的 文件。本文从Microsoft Windows目录的一基本识别开始。 C:\Program文件 大多应用程序在此目录安装。此文件夹经常是個的来源在系统并且是主要介绍。思科在监视数据库 应用程序和其他反病毒程序以及所有权或者机构内部的软件。 C:\Program数据 此目录有时用于缓存或存储临时文件。在此文件夹中，您也许注意依靠应用程序的很多活动。 C:\Users 此目录适应多种用户文件夹，例如桌面、文档、下载和appdata。appdata文件夹全体地使用临时文 件，浏览文件的互联网，历史记录，等等。 警告： 由于在此目录下载文件和数据的数量，您应该小心，当您指定排除时，并且设法尽可能 具体地将匹配“安全”文件。 C:\Windows 此目录有系统文件。当由默认排除集，处理您通常不需要从此目录排除。您也许要排除缓存的此文 件夹，例如系统中心配置管理器(SCCM)和Windows日志文件的高速缓冲存储。 支持的排除类型 威胁 ：这是没有被检疫威胁的名称。触发一特定的威胁名称的任何文件不会检查。示例是 Win.Malware.PDF 路径 ：这是单个文件系统位置。这里您能使用一个特定路径例如C:\Program Files\Cisco ，或 者您能使用不变特殊项目标识列表(CSIDL)。 注意 ：CSIDL是由Windows认可，并且可以是有用的在方案路径在不同的盘符可能驻留的一内 置的变量。示例是CSIDL_PROGRAM_FILES \。此示例包括C:\Program Files\Cisco和 D:\Program Files\Cisco。在路径排除的仅CSIDLs工作。可用的CSIDLs详尽列表的参 考的窗口文档。 通配符 ： 必须使用此类型，每当通配符(*)在排除内希望。例如：C:\Program Files\Cisco\ *.tmp 文件扩展 ：这是文件类型文件扩展的简单排除。示例是.txt。 什么时候排除 症状 如果运行FireAMP并且遇到性能问题用系统或与一特定应用程序，这可能是缺乏对用户输入的答复 ，性能低下自动化进程，失败或者错误的征兆。有时应用程序显示一个特定错误。 验证 为了确定被扫描，并且的文件或目录多么频繁地，请遵从这些步骤： 步骤 1：第一步将生成诊断程序包和解压缩它。这是7zip存档并且要求应用程序解压缩它。 步骤 2：第二步将访问history.db从诊断文件。 history.db是记录所有FireAMP检测文件的SQLite数据库文件。每行包括处理、文件名、文件 SHA、源文件和来源SHA。来源是创建/访问文件的文件。这让我们发现应用程序如何运转，并且什 么。 在本例中， SQLite3命令用于为了转换历史记录数据库到逗号分隔的值(CSV)文件。 下载您的操作系统的PRE编译SQLite3二进制。 解压缩与一应用程序的FireAMP诊断程序包例如7zip。 导航到解压缩的诊断文件夹并且查找在C_ \\ Sourcefire \ fireAMP \history.db。 在终端或prompt命令内，请呼叫您下载的SQLite3二进制并且提供history.db此命令。(此命 令假设， SQLite3在您的您的操作系统的环境变量指定的位置或者它需要在诊断文件夹内被放 置。) sqlite3 -csv -header history.db select created_at,file,filename,source,sourcename from history hist