Windows大量5156、5152日志,如何关闭筛选平台日志。
筛选平台日志
1、问题现象
检查系统登录日志的时候,发现大量5156、5152事件刷屏,两三分钟就把之前的日志都被覆盖掉了,任务类别是筛选平台。
2、WFP防火墙
Windows筛选平台(Windows Filtering Platform)也就是WFP,是微软操作系统自带的一套系统服务和应用程序接口,负责处理防火墙和IPsec的相关事件并记录日志。
这里是因为我们开启了Windows系统防火墙,并且是Web服务器,有大量访问流量,所以触发了大量的日志。
这些日志有助于识别异常或未经授权的网络流量,对网络安全有一定的辅助作用,但我们这个场景下,明显日志量太大了,所以决定关闭这类日志。
3、关闭筛选平台日志
微软官方提供了筛选平台的日志类型,我们找到事件日志的对应编码
参考链接:https://learn.microsoft.com/zh-cn/windows/win32/fwp/auditing-and-logging
比如 5156事件对应{0CCE9226-69AE-11D9-BED3-505054503030}
关闭5156事件日志:auditpol /set /subcategory:{0CCE9226-69AE-11D9-BED3-505054503030} /success:disable /failure:disable
- /success:审核成功日志
- /failure:审核失败日志
- disable:关闭
- enable:开启
查看5156事件日志是否启用:auditpol /get /subcategory:{0CCE9226-69AE-11D9-BED3-505054503030}
- 结果显示"无审核",就说明日志关闭了。
关闭5152事件就把编码换成 {0CCE9225-69AE-11D9-BED3-505054503030}
关闭5152 auditpol /set /subcategory:{0CCE9225-69AE-11D9-BED3-505054503030} /success:disable /failure:disable
查看5152:auditpol /get /subcategory:{0CCE9225-69AE-11D9-BED3-505054503030}
关闭其他日志就换成对应的编码。
原文地址:https://blog.csdn.net/wangyuxiang946/article/details/144057174
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!