筛选器源审核日志

2025-04-07
适用于: ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

调查数据包丢弃事件时，可以使用 Windows 筛选平台中的字段 Filter Run-Time ID (WFP) 审核 5157 或 5152。

事件属性。

筛选器 ID 唯一标识导致数据包丢弃的筛选器。可以在 WFP 状态转储输出中搜索筛选器 ID，以跟踪筛选器源自的防火墙规则。但是，筛选器 ID 不是跟踪到筛选器或规则的可靠源，因为尽管规则根本不更改，但筛选器 ID 可能会由于多种原因而更改。更改 ID 会使诊断过程容易出错且难以执行。

若要正确高效地调试数据包丢弃事件，需要有关阻止筛选器的更多上下文，例如其源。阻塞筛选器可按以下筛选器源进行分类：

防火墙规则
防火墙默认阻止筛选器
1. AppContainer 环回
2. 默认启动时间
3. 隔离默认值
4. 查询用户默认值
5. 隐身
6. 通用 Windows 平台 (UWP) 默认值
7. Windows 服务强化 (WSH) 默认值

下一部分介绍在 2022 Windows 11 和 5152 Windows Server 中对审核5157和所做的改进，以及如何在这些事件中使用筛选器源。

改进了防火墙审核

从 Windows 11 和 Windows Server 2022 开始，两个新字段添加到审核5157和5152事件：筛选器源和接口索引：

“筛选器原点”字段有助于确定下降的原因。从防火墙删除的数据包由 Windows 防火墙服务创建的默认阻止筛选器或可由用户、策略、服务、应用等创建的防火墙规则显式删除。Filter Origin'指定 规则 ID (防火墙规则) 的唯一标识符或默认块筛选器之一的名称
“ 接口索引” 字段指定丢弃数据包的网络接口。如果筛选器源为“隔离默认值”，则此字段有助于确定已隔离的接口

若要启用特定的审核事件，请在管理员命令提示符下运行相应的命令：

审计#	Enable 命令	Link
5157	`Auditpol /set /category:"System" /SubCategory:"Filtering Platform Connection" /success:enable /failure:enable`	5157 (F) ：Windows 筛选平台已阻止连接。
5152	`Auditpol /set /category:"System" /SubCategory:"Filtering Platform Packet Drop" /success:enable /failure:enable`	5152 (F) ：Windows 筛选平台阻止了数据包。

使用筛选器源调试数据包丢弃的示例流

当审核显示 “筛选器源 ”和 “接口索引”时，网络管理员可以确定网络数据包丢弃的根本原因，以及它发生的接口。

事件审核。

接下来的部分将除以 Filter Origin 类型，该值是规则名称或默认块筛选器之一的名称。如果筛选器源是默认阻止筛选器之一，请跳到 “防火墙默认阻止筛选器”部分。

防火墙规则

运行以下 PowerShell 命令，使用 Filter Origin生成规则信息。

Get-NetFirewallRule -Name "<Filter Origin>"
Get-NetFirewallRule -Name " {A549B7CF-0542-4B67-93F9-EEBCDD584377} "

防火墙规则。

确定导致删除的规则后，网络管理员可以修改或禁用该规则，以允许他们所需的流量通过可用的工具之一。网络管理员可以使用规则的 DisplayName 在 UI 中找到规则。

注意

无法使用 Windows 防火墙 UI 搜索移动设备管理 (MDM) 存储中的防火墙规则。此外，当 Filter Origin 是默认块筛选器之一时，上述方法不起作用，因为它们不对应于任何防火墙规则。

AppContainer 环回

当未为通用 Windows 平台 (UWP) 应用正确启用 localhost 环回时，将发生来自 AppContainer 环回块筛选器源的网络删除事件：

若要在本地调试环境中启用 localhost 环回，请参阅与 localhost 通信
若要为需要环回访问才能与其他 UWP 或打包的 Win32 应用通信的已发布应用启用 localhost 环回，请参阅 uap4：LoopbackAccessRules

默认启动时间

启动时默认阻止筛选器源的网络删除事件发生在计算机启动且防火墙服务尚未运行时。服务需要创建启动时间允许筛选器以允许流量。应注意，无法通过防火墙规则添加启动时间筛选器。

隔离默认值

当防火墙服务暂时隔离接口时，会从隔离默认 阻止筛选器 中删除网络。防火墙服务在检测到网络上的更改时会隔离接口，并且根据几个其他因素，防火墙服务可能会将接口置于隔离区中，作为一种安全措施。隔离接口时，隔离默认 块筛选器 会阻止任何新的非环回入站连接。

运行以下 PowerShell 命令以生成有关接口的详细信息：

Get-NetIPInterface -InterfaceIndex <Interface Index>

若要详细了解隔离功能，请参阅隔离行为。

注意

与隔离相关的数据包丢弃通常是暂时的，只表示接口上的网络更改。

查询用户默认值

如果未创建显式规则来允许数据包的入站连接，则会从查询用户默认阻止筛选器中删除网络数据包。当应用程序绑定到套接字但没有相应的入站规则来允许该端口上的数据包时，Windows 会生成一个弹出窗口，供用户允许或拒绝应用接收可用网络类别上的数据包。如果用户选择在弹出窗口中拒绝连接，则会丢弃到应用的后续入站数据包。若要解决删除问题，请执行以下作：

创建入站防火墙规则以允许此应用程序的数据包。规则允许数据包绕过任何查询用户默认块筛选器
删除防火墙服务自动生成的任何块查询用户规则

若要生成所有查询用户阻止规则的列表，可以运行以下 PowerShell 命令：

Get-NetFirewallRule | Where {$_.Name -like "*Query User*"}

默认情况下，查询用户弹出功能处于启用状态。若要禁用查询用户弹出窗口，可以在管理命令提示符下运行以下命令：

Netsh set allprofiles inboundusernotification disable

或在 PowerShell 中：

Set-NetFirewallProfile -NotifyOnListen False

隐身

从隐身筛选器进行网络删除通常是为了防止端口扫描。

若要禁用隐藏模式，请参阅在 Windows 中禁用隐藏模式。

UWP 默认值

网络从通用 Windows 平台 (UWP 删除) 默认入站/出站块筛选器通常是由于 UWP 应用未正确配置 (即 UWP 应用缺少正确的功能令牌或未启用环回) 或未正确配置专用范围。

有关如何调试 UWP 默认块筛选器导致的删除的详细信息，请参阅排查 UWP 应用连接问题。

WSH 默认值

Windows 服务强化 (WSH) 默认筛选器的网络删除表明，没有明确的 Windows 服务强化允许规则允许受保护服务的网络流量。如果不需要阻止，服务所有者需要为服务配置 允许规则 。

通过