Udostępnij za pośrednictwem

Rejestrowanie (platforma filtrowania systemu Windows)

  • Artykuł

Platforma filtrowania Windows (WFP) umożliwia rejestrowanie odrzuconych pakietów i błędów IKE/AuthIP.

Zarejestrowane zdarzenia są definiowane w wyliczanym typie FWPM_NET_EVENT_TYPE i są następująco.

  • Błędy trybu głównego protokołu IKE/AuthIP.
  • Awarie trybu szybkiego IKE/AuthIP.
  • Błędy trybu rozszerzonego AuthIP.
  • Pakiety porzucone podczas klasyfikacji.
  • Pakiety porzucone przez protokół IPsec.

Domyślnie rejestrowanie w WFP jest włączone dla przychodzących pakietów unicast oraz dla wszystkich pakietów wychodzących (unicast, multicast i broadcast). Rejestrowanie można włączyć dla pozostałych pakietów lub wyłączyć dla wszystkich pakietów za pośrednictwem FwpmEngineSetOptions0 funkcji zarządzania. Ustawienia zdarzeń są utrwalane w przypadku ponownych uruchomień.

Zarejestrowane zdarzenia są przechowywane w dzienniku cyklicznym, czyli nowe zdarzenia zastępują stare, gdy dziennik osiągnie maksymalny rozmiar i można je analizować przy użyciu funkcji zarządzania zdarzeniami udostępnianych przez program WFP. Dziennik zdarzeń ma maksymalny rozmiar 128 KB i może przechowywać około 100 do 150 zdarzeń.

Funkcje wyliczenia ogólnych, a w szczególności FwpmNetEventEnum0/FwpmNetEventEnum1, wykonują migawkę dziennika w momencie tworzenia uchwytu wyliczenia. Kolejne wywołania używające tego samego dojścia wyliczania zwracają następny zestaw elementów po tych w ostatnim buforze wyjściowym.

Gdy aplikacja wyłączy rejestrowanie WFP (wywołując FwpmEngineSetOptions0), wszystkie aplikacje są na to narażone. Dziennik zdarzeń nie jest czyszczony do momentu ponownego włączenia rejestrowania WFP przez aplikację, ale nie można wykonać zapytania do dziennika zdarzeń przed tym.

Dziennik zdarzeń programu WFP jest opróżniany po ponownym uruchomieniu.