Protokollierung (Windows-Filterplattform)

Die Windows-Filterplattform (Windows Filtering Platform, WFP) ermöglicht die Protokollierung von Paketverlusten und IKE/AuthIP-Fehlern.

Die protokollierten Ereignisse werden im FWPM_NET_EVENT_TYPE aufgezählten Typ definiert und sind wie folgt.

• IKE/AuthIP Standard Modusfehler.
• Fehler im IKE/AuthIP-Schnellmodus.
• Fehler im erweiterten AuthIP-Modus.
• Pakete, die während der Klassifizierung gelöscht werden.
• Von IPsec gelöschte Pakete.

Standardmäßig ist die Protokollierung für WFP für unicast-eingehende Pakete und für alle ausgehenden Pakete (Unicast, Multicast und Broadcast) aktiviert. Die Protokollierung kann für die restlichen Pakete aktiviert oder für alle Pakete über die Verwaltungsfunktion FwpmEngineSetOptions0 deaktiviert werden. Ereigniseinstellungen bleiben über Neustarts hinweg erhalten.

Protokollierte Ereignisse werden in einem Zirkelprotokoll gespeichert, d. h. neue Ereignisse überschreiben alte Ereignisse, wenn das Protokoll seine maximale Größe erreicht, und können mithilfe der von WFP bereitgestellten Ereignisverwaltungsfunktionen analysiert werden. Das Ereignisprotokoll hat eine maximale Größe von 128 KB und kann etwa 100 bis 150 Ereignisse enthalten.

Enumerationsfunktionen im Allgemeinen und FwpmNetEventEnum0/FwpmNetEventEnum1 im Besonderen nehmen zum Zeitpunkt der Erstellung des Enumerationshandles eine Momentaufnahme des Protokolls auf. Nachfolgende Aufrufe mit dem gleichen Enumerationshandle geben den nächsten Satz von Elementen nach denen im letzten Ausgabepuffer zurück.

Wenn eine Anwendung die WFP-Protokollierung deaktiviert (durch Aufrufen von FwpmEngineSetOptions0), sind alle Anwendungen betroffen. Das Ereignisprotokoll wird erst bereinigt, wenn eine Anwendung die WFP-Protokollierung wieder aktiviert, aber das Ereignisprotokoll kann nicht zuvor abgefragt werden.

Das WFP-Ereignisprotokoll wird nach einem Neustart geleert.