(Windows 筛选平台) 日志记录

Windows 筛选平台 (WFP) 提供数据包丢弃和 IKE/AuthIP 失败的日志记录。

记录的事件在 FWPM_NET_EVENT_TYPE 枚举类型中定义，如下所示。

• IKE/AuthIP main 模式失败。
• IKE/AuthIP 快速模式失败。
• AuthIP 扩展模式失败。
• 分类期间丢弃的数据包数。
• IPsec 丢弃的数据包数。

默认情况下，对单播入站数据包和所有出站数据包启用对 WFP 的日志记录， (单播、多播和广播) 。 可以通过 FwpmEngineSetOptions0 管理功能为其余数据包启用日志记录，或对所有数据包禁用日志记录。 事件设置在重新启动后保留。

记录的事件存储在循环日志中，即当日志达到最大大小时，新事件会替代旧事件，并且可以使用 WFP 提供 的事件管理功能 进行分析。 事件日志的最大大小为 128 KB，可以保存大约 100 到 150 个事件。

一般情况下，枚举函数（尤其是 FwpmNetEventEnum0/FwpmNetEventEnum1）在创建枚举句柄时快照日志。 使用同一枚举句柄的后续调用将返回最后一个输出缓冲区中的项之后的下一组项。

当应用程序通过调用 FwpmEngineSetOptions0 禁用 WFP 日志记录 () 所有应用程序都会受到影响。 在应用程序重新启用 WFP 日志记录之前，不会清理事件日志，但在此之前无法查询事件日志。

重新启动后会清空 WFP 事件日志。