Registrazione (piattaforma di filtro di Windows)

Windows Filtering Platform (WFP) fornisce la registrazione di errori di eliminazione dei pacchetti e IKE/AuthIP.

Gli eventi registrati vengono definiti nel tipo enumerato FWPM_NET_EVENT_TYPE e sono i seguenti.

• Errori della modalità principale IKE/AuthIP.
• Errori in modalità rapida IKE/AuthIP.
• Errori della modalità estesa di AuthIP.
• I pacchetti eliminati durante la classificazione.
• Pacchetti eliminati da IPsec.

Per impostazione predefinita, la registrazione per WFP è abilitata per i pacchetti in ingresso unicast e per tutti i pacchetti in uscita (unicast, multicast e broadcast). La registrazione può essere abilitata per il resto dei pacchetti o disabilitata per tutti i pacchetti tramite la funzione di gestione FwpmEngineSetOptions0 . Le impostazioni degli eventi vengono mantenute tra i riavvii.

Gli eventi registrati vengono archiviati in un log circolare, ovvero nuovi eventi sostituiscono quelli precedenti quando il log raggiunge le dimensioni massime e può essere analizzato usando le funzioni di gestione degli eventi fornite dal WFP. Il log eventi ha una dimensione massima di 128 KB e può contenere circa 100 a 150 eventi.

Funzioni di enumerazione in generale e FwpmNetEventEnum0 FwpmNetEventEnum1in particolare, acquisire uno snapshot del log al momento della creazione dell'handle di enumerazione./ Le chiamate successive che usano lo stesso handle di enumerazione restituiscono il set successivo di elementi che seguono quelli nell'ultimo buffer di output.

Quando un'applicazione disabilita la registrazione WFP (chiamando FwpmEngineSetOptions0) tutte le applicazioni sono interessate. Il registro eventi non viene pulito fino a quando un'applicazione non abilita nuovamente la registrazione WFP, ma il registro eventi non può essere sottoposto a query prima di allora.

Il registro eventi WFP viene svuotato dopo un riavvio.