Journalisation (plateforme de filtrage Windows)

La plateforme de filtrage Windows (PAM) fournit la journalisation des suppressions de paquets et des échecs IKE/AuthIP.

Les événements journalisés sont définis dans le FWPM_NET_EVENT_TYPE type énuméré et se présentent comme suit.

• Échecs du mode main IKE/AuthIP.
• Échecs de mode rapide IKE/AuthIP.
• Échecs en mode étendu AuthIP.
• Paquets supprimés pendant la classification.
• Paquets supprimés par IPsec.

Par défaut, la journalisation pour LE PAM est activée pour les paquets entrants en unidiffusion et pour tous les paquets sortants (unidiffusion, multidiffusion et diffusion). La journalisation peut être activée pour le reste des paquets ou désactivée pour tous les paquets via la fonction de gestion FwpmEngineSetOptions0 . Les paramètres d’événement persistent entre les redémarrages.

Les événements journalisés sont stockés dans un journal circulaire, c’est-à-dire que les nouveaux événements remplacent les anciens lorsque le journal atteint sa taille maximale, et peuvent être analysés à l’aide des fonctions de gestion des événements fournies par le PAM. Le journal des événements a une taille maximale de 128 Ko et peut contenir environ 100 à 150 événements.

Les fonctions d’énumération en général, et FwpmNetEventEnum0/FwpmNetEventEnum1 en particulier, prennent une instantané du journal au moment de la création du handle d’énumération. Les appels suivants utilisant le même handle d’énumération retournent l’ensemble d’éléments suivant ceux du dernier tampon de sortie.

Lorsqu’une application désactive la journalisation PAM (en appelant FwpmEngineSetOptions0), toutes les applications sont affectées. Le journal des événements n’est pas nettoyé jusqu’à ce qu’une application réactive la journalisation PAM, mais le journal des événements ne peut pas être interrogé avant.

Le journal des événements du PAM est vidé après un redémarrage.