로깅(Windows 필터링 플랫폼)
WFP(Windows 필터링 플랫폼)는 패킷 삭제 및 IKE/AuthIP 오류에 대한 로깅을 제공합니다.
기록된 이벤트는 FWPM_NET_EVENT_TYPE 열거형 형식으로 정의되며 다음과 같습니다.
- IKE/AuthIP 기본 모드 오류.
- IKE/AuthIP 빠른 모드 오류.
- AuthIP 확장 모드 오류.
- 분류하는 동안 패킷이 삭제되었습니다.
- IPsec에서 삭제한 패킷입니다.
기본적으로 WFP에 대한 로깅은 유니캐스트 인바운드 패킷 및 모든 아웃바운드 패킷(유니캐스트, 멀티캐스트 및 브로드캐스트)에 대해 사용하도록 설정됩니다. 로깅은 FwpmEngineSetOptions0 관리 함수를 통해 나머지 패킷에 대해 사용하거나 모든 패킷에 대해 사용하지 않도록 설정할 수 있습니다. 이벤트 설정은 다시 부팅할 때 유지됩니다.
로그된 이벤트는 순환 로그에 저장됩니다. 즉, 로그가 최대 크기에 도달하면 새 이벤트가 이전 이벤트를 재정의하고 WFP에서 제공하는 이벤트 관리 함수를 사용하여 분석할 수 있습니다. 이벤트 로그의 최대 크기는 128KB이며 약 100~150개의 이벤트를 보유할 수 있습니다.
일반적으로 열거형 함수 및 FwpmNetEventEnum0/FwpmNetEventEnum1은 열거형 핸들을 만들 때 로그의 스냅샷 수행합니다. 동일한 열거형 핸들을 사용하는 후속 호출은 마지막 출력 버퍼에 있는 항목 다음에 오는 다음 항목 집합을 반환합니다.
애플리케이션이 FwpmEngineSetOptions0을 호출하여 WFP 로깅을 사용하지 않도록 설정하면 모든 애플리케이션이 영향을 받습니다. 애플리케이션이 WFP 로깅을 다시 사용하도록 설정할 때까지 이벤트 로그가 정리되지 않지만 그 전에는 이벤트 로그를 쿼리할 수 없습니다.
다시 부팅한 후 WFP 이벤트 로그가 비워집니다.