自学内容网 自学内容网

Windows大量5156、5152日志,如何关闭筛选平台日志。

《网络安全自学教程》

在这里插入图片描述

1、问题现象

检查系统登录日志的时候,发现大量5156、5152事件刷屏,两三分钟就把之前的日志都被覆盖掉了,任务类别是筛选平台。

在这里插入图片描述

2、WFP防火墙

Windows筛选平台(Windows Filtering Platform)也就是WFP,是微软操作系统自带的一套系统服务和应用程序接口,负责处理防火墙和IPsec的相关事件并记录日志。

这里是因为我们开启了Windows系统防火墙,并且是Web服务器,有大量访问流量,所以触发了大量的日志。

这些日志有助于识别异常或未经授权的网络流量,对网络安全有一定的辅助作用,但我们这个场景下,明显日志量太大了,所以决定关闭这类日志。

3、关闭筛选平台日志

微软官方提供了筛选平台的日志类型,我们找到事件日志的对应编码

在这里插入图片描述

参考链接:https://learn.microsoft.com/zh-cn/windows/win32/fwp/auditing-and-logging

比如 5156事件对应{0CCE9226-69AE-11D9-BED3-505054503030}

关闭5156事件日志:auditpol /set /subcategory:{0CCE9226-69AE-11D9-BED3-505054503030} /success:disable /failure:disable

  • /success:审核成功日志
  • /failure:审核失败日志
  • disable:关闭
  • enable:开启

查看5156事件日志是否启用:auditpol /get /subcategory:{0CCE9226-69AE-11D9-BED3-505054503030}

  • 结果显示"无审核",就说明日志关闭了。

关闭5152事件就把编码换成 {0CCE9225-69AE-11D9-BED3-505054503030}

关闭5152 auditpol /set /subcategory:{0CCE9225-69AE-11D9-BED3-505054503030} /success:disable /failure:disable

查看5152:auditpol /get /subcategory:{0CCE9225-69AE-11D9-BED3-505054503030}

关闭其他日志就换成对应的编码。


原文地址:https://blog.csdn.net/wangyuxiang946/article/details/144057174

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!