Meu servidor gera cerca de 2,5 GB de logs todos os dias e eu simplesmente não consigo armazená-los. Após alguma investigação, descobri que dos meus 854.608 logs, 394.880 deles se parecem com isto:
The Windows Filtering Platform has permitted a connection.
Application Information:
Process ID: 2160
Application Name: \device\harddiskvolume2\windows\system32\svchost.exe
Network Information:
Direction: Inbound
Source Address: 192.168.15.25
Source Port: 5353
Destination Address: 224.0.0.251
Destination Port: 5353
Protocol: 17
Filter Information:
Filter Run-Time ID: 81091
Layer Name: Receive/Accept
Layer Run-Time ID: 44
e outros 185.103 são a mesma coisa, mas com Systemem vez de \device\harddiskvolume2\windows\system32\svchost.exe.
O que eu faço com isso ? E o mais importante, como faço para parar?
Isso significa que você tem conexões da Plataforma de Filtragem do Windows habilitadas para permitir/descartar auditoria.
A auditoria do WFP é 100% inútil e está desativada por padrão. Também é conhecido por ter falsos positivos - registrando conexões perdidas quando elas não foram descartadas.
A menos que você saiba que precisa dele, você deve desabilitá-lo na Política de Grupo para configurar a auditoria.
Se não estiver configurado na política, você também poderá desativá-lo no prompt de comando usando auditpol.exe.
https://www.ultimatewindowssecurity.com/securitylog/book/page.aspx?spid=chapter7#FiltDrop
https://learn.microsoft.com/en-us/windows/win32/fwp/auditing-and-logging