journalisation (Windows la plateforme de filtrage)

la plateforme de filtrage de Windows (WFP) fournit la journalisation des rejets de paquets et des échecs IKE/AuthIP.

Les événements journalisés sont définis dans le type énuméré FWPM _ NET _ Event _ type et sont les suivants.

  • Échecs du mode principal IKE/AuthIP.
  • Échecs du mode rapide IKE/AuthIP.
  • Échecs du mode étendu AuthIP.
  • Paquets supprimés pendant la classification.
  • Paquets abandonnés par IPsec.

Par défaut, la journalisation pour WFP est activée pour les paquets entrants monodiffusion et pour tous les paquets sortants (monodiffusion, multidiffusion et diffusion). La journalisation peut être activée pour le reste des paquets, ou désactivée pour tous les paquets, via la fonction de gestion FwpmEngineSetOptions0 . Les paramètres d’événement persistent entre les redémarrages.

Les événements journalisés sont stockés dans un journal circulaire, c’est-à-dire que les nouveaux événements remplacent les anciens lorsque le journal atteint sa taille maximale et peuvent être analysés à l’aide des fonctions de gestion des événements fournies par WFP. Le journal des événements a une taille maximale de 128 Ko et peut contenir environ 100 à 150 événements.

Les fonctions d’énumération en général, et FwpmNetEventEnum0 / FwpmNetEventEnum1 en particulier, prennent un instantané du journal au moment de la création du handle d’énumération. Les appels suivants à l’aide du même handle d’énumération retournent le jeu d’éléments suivant suivant ceux de la dernière mémoire tampon de sortie.

Lorsqu’une application désactive la journalisation WFP (en appelant FwpmEngineSetOptions0), toutes les applications sont affectées. Le journal des événements n’est pas nettoyé jusqu’à ce qu’une application réactive la journalisation WFP, mais le journal des événements ne peut pas être interrogé avant.

Le journal des événements WFP est vidé après un redémarrage.