ログ記録 (Windows フィルタリング プラットフォーム)

  • [アーティクル]

Windows フィルタリング プラットフォーム (WFP) では、パケット ドロップと IKE/AuthIP エラーのログ記録が提供されます。

ログに記録されるイベントは、 FWPM_NET_EVENT_TYPE 列挙型で定義され、次のとおりです。

  • IKE/AuthIP メイン モードエラー。
  • IKE/AuthIP クイック モードエラー。
  • AuthIP 拡張モードエラー。
  • 分類中に破棄されたパケット。
  • IPsec によって破棄されたパケット。

既定では、WFP のログ記録はユニキャスト受信パケットとすべての送信パケット (ユニキャスト、マルチキャスト、ブロードキャスト) に対して有効になっています。 ログ記録は、 FwpmEngineSetOptions0 管理機能を使用して、残りのパケットに対して有効にすることも、すべてのパケットに対して無効にすることもできます。 イベント設定は再起動後も保持されます。

ログに記録されたイベントは循環ログに格納されます。これは、ログが最大サイズに達したときに新しいイベントによって古いイベントがオーバーライドされ、WFP によって提供される イベント管理機能 を使用して分析できます。 イベント ログの最大サイズは 128 KB で、約 100 から 150 個のイベントを保持できます。

列挙関数全般と FwpmNetEventEnum0/FwpmNetEventEnum1 は、列挙ハンドルの作成時にログのスナップショットを受け取ります。 同じ列挙ハンドルを使用する後続の呼び出しでは、最後の出力バッファー内の項目の次のセットが返されます。

( FwpmEngineSetOptions0 を呼び出して) アプリケーションが WFP ログを無効にすると、すべてのアプリケーションが影響を受けます。 イベント ログは、アプリケーションが WFP ログを再度有効にするまでクリーンアップされませんが、それ以前にイベント ログを照会することはできません。

再起動後、WFP イベント ログが空になります。