Ведение журнала (платформа фильтрации Windows)

  • Статья

Платформа фильтрации Windows (МПП) обеспечивает ведение журнала об удалении пакетов и сбоях IKE/AuthIP.

Регистрированные события определяются в FWPM_NET_EVENT_TYPE перечислимом типе и являются следующими.

  • Сбои режима IKE/AuthIP main.
  • Сбои быстрого режима IKE/AuthIP.
  • Сбои расширенного режима AuthIP.
  • Пакеты, отброшенные во время классификации.
  • Пакеты, отброшенные IPsec.

По умолчанию ведение журнала для ПППП включено для одноадресных входящих пакетов и для всех исходящих пакетов (одноадресная, многоадресная и широковещательная). Ведение журнала можно включить для остальных пакетов или отключить для всех пакетов с помощью функции управления FwpmEngineSetOptions0 . Параметры событий сохраняются при перезагрузках.

Зарегистрированные события хранятся в циклической журнале, то есть новые события переопределяют старые, когда журнал достигает своего максимального размера, и их можно проанализировать с помощью функций управления событиями , предоставляемых МПП. Журнал событий имеет максимальный размер 128 КБ и может содержать от 100 до 150 событий.

Функции перечисления в целом и FwpmNetEventEnum0/FwpmNetEventEnum1, в частности, принимают snapshot журнала во время создания дескриптора перечисления. Последующие вызовы, использующие тот же дескриптор перечисления, возвращают следующий набор элементов в последнем выходном буфере.

Когда приложение отключает ведение журнала ВПП (путем вызова FwpmEngineSetOptions0), затрагиваются все приложения. Журнал событий не очищается до тех пор, пока приложение повторно не включит ведение журнала СОБЫТИЙ, но до этого не будет выполняться запрос к журналу событий.

Журнал событий МПП очищается после перезагрузки.