Registro em log (Plataforma de Filtragem do Windows)

  • Artigo

A Plataforma de Filtragem do Windows (WFP) fornece registro em log de quedas de pacotes e falhas de IKE/AuthIP.

Os eventos registrados são definidos no tipo enumerado FWPM_NET_EVENT_TYPE e são os seguintes.

  • Falhas no modo de main IKE/AuthIP.
  • Falhas no modo rápido IKE/AuthIP.
  • Falhas no modo estendido AuthIP.
  • Pacotes descartados durante a classificação.
  • Pacotes descartados pelo IPsec.

Por padrão, o registro em log para WFP é habilitado para pacotes de entrada unicast e para todos os pacotes de saída (unicast, multicast e difusão). O registro em log pode ser habilitado para o restante dos pacotes ou desabilitado para todos os pacotes por meio da função de gerenciamento FwpmEngineSetOptions0 . As configurações de evento persistem entre reinicializações.

Os eventos registrados são armazenados em um log circular, que são novos eventos que substituem os antigos quando o log atinge seu tamanho máximo e podem ser analisados usando as funções de gerenciamento de eventos fornecidas pelo WFP. O log de eventos tem um tamanho máximo de 128 KB e pode conter cerca de 100 a 150 eventos.

As funções de enumeração em geral e FwpmNetEventEnum0/FwpmNetEventEnum1 em particular fazem uma instantâneo do log no momento em que o identificador de enumeração é criado. Chamadas subsequentes usando o mesmo identificador de enumeração retornam o próximo conjunto de itens seguindo os do último buffer de saída.

Quando um aplicativo desabilita o registro em log do WFP (chamando FwpmEngineSetOptions0), todos os aplicativos são afetados. O log de eventos não é limpo até que um aplicativo habilite novamente o log do WFP, mas o log de eventos não pode ser consultado antes disso.

O log de eventos WFP é esvaziado após uma reinicialização.