解釋DNS.exe 出現在2008 Security Event 5156

根據確認是一個允許連線的事件，若是您啟動Audit Filtering Platform Connection只要有對本機做連線就會有事件產生

5156	Windows 篩選平台已允許連線。

參考

在 Windows Vista 和 Windows Server 2008 中的安全性事件的描述

https://support.microsoft.com/kb/947226

這裡要說明的是Source Address與Destination Address令人confuse

The Windows Filtering Platform has allowed a connection.

Application Information:

           Process ID:             404

           Application Name:          deviceharddiskvolume1windowssystem32dns.exe

Network Information:

           Direction:               Inbound ----進來的連線

           Source Address:               192.168.0.1 -----指的是本機位置

           Source Port:                     53

           Destination Address:       192.168.0.210-----指的是遠端的來源位置

           Destination Port:             54753

           Protocol:                17

Filter Information:

           Filter Run-Time ID:          67522

           Layer Name:                     Receive/Accept

           Layer Run-Time ID:          44

以目前的事件來解釋應該是192.168.0.210與來與192.168.0.1做DNS的查詢