Bagikan melalui

Pengelogan (Platform Pemfilteran Windows)

  • Artikel

Windows Filtering Platform (WFP) menyediakan pengelogan penurunan paket dan kegagalan IKE/AuthIP.

Peristiwa yang dicatat didefinisikan dalam jenis enumerasi FWPM_NET_EVENT_TYPE dan sebagai berikut.

  • Kegagalan mode utama IKE/AuthIP.
  • Kegagalan mode cepat IKE/AuthIP.
  • Kegagalan mode diperpanjang AuthIP.
  • Paket dihilangkan selama klasifikasi.
  • Paket yang dihilangkan oleh IPsec.

Secara default, pengelogan untuk WFP diaktifkan untuk paket masuk unicast dan untuk semua paket keluar (unicast, multicast, dan broadcast). Pengelogan dapat diaktifkan untuk paket lainnya, atau dinonaktifkan untuk semua paket, melalui fungsi manajemen FwpmEngineSetOptions0 . Pengaturan peristiwa tetap ada di seluruh reboot.

Peristiwa yang dicatat disimpan dalam log melingkar, yaitu peristiwa baru mengambil alih peristiwa lama ketika log mencapai ukuran maksimumnya, dan dapat dianalisis menggunakan fungsi manajemen peristiwa yang disediakan oleh WFP. Log peristiwa memiliki ukuran maksimum 128 KB dan dapat menampung sekitar 100 hingga 150 peristiwa.

Fungsi enumerasi secara umum, dan FwpmNetEventEnum0/FwpmNetEventEnum1 khususnya, ambil rekam jepret log pada saat handel enumerasi dibuat. Panggilan berikutnya menggunakan handel enumerasi yang sama mengembalikan kumpulan item berikutnya setelah yang ada di buffer output terakhir.

Ketika aplikasi menonaktifkan pengelogan WFP (dengan memanggil FwpmEngineSetOptions0) semua aplikasi terpengaruh. Log peristiwa tidak dibersihkan sampai aplikasi mengaktifkan kembali pengelogan WFP, tetapi log peristiwa tidak dapat dikueri sebelum itu.

Log peristiwa WFP dikosongkan setelah reboot.