日志记录 (Windows筛选平台)

Windows筛选平台 (粮食计划署) 提供数据包丢弃和 IKE/AuthIP 失败的日志记录。

记录的事件在 FWPM_NET_EVENT_TYPE 枚举类型中定义,如下所示。

  • IKE/AuthIP 主模式失败。
  • IKE/AuthIP 快速模式失败。
  • AuthIP 扩展模式失败。
  • 分类期间丢弃的数据包。
  • IPsec 丢弃的数据包。

默认情况下,为单播入站数据包和所有出站数据包启用单播入站数据包的日志记录, (单播、多播和广播) 。 可以通过 FwpmEngineSetOptions0 管理功能为所有数据包启用日志记录,或对所有数据包禁用日志记录。 事件设置会在重新启动时持续存在。

记录的事件存储在循环日志中,这是新事件在日志达到最大大小时替代旧事件,可以使用粮食计划署提供 的事件管理功能 进行分析。 事件日志的最大大小为 128 KB,可以容纳大约 100 到 150 个事件。

一般情况下,枚举函数和 FwpmNetEventEnum0FwpmNetEventEnum1/ 在创建枚举句柄时拍摄日志的快照。 使用同一枚举句柄的后续调用返回最后一个输出缓冲区中的项集。

当应用程序通过调用 FwpmEngineSetOptions) 0 禁用 WFP 日志记录 (时,所有应用程序都会受到影响。 在应用程序重新启用 WFP 日志记录之前,不会清理事件日志,但在此之前无法查询事件日志。

重新启动后会清空粮食计划署事件日志。