IIS 6 - 仅记录某些目录

Question

Afor

Asked: 2024-05-13 20:26:21 +0800 CST2024-05-13 20:26:21 +0800 CST 2024-05-13 20:26:21 +0800 CST

配置事件查看器中记录的内容

772

我的服务器每天生成大约 2.5GB 的日志，但我无法存储它，经过一番调查，我发现我的 854,608 条日志中有 394,880 条如下所示：

    The Windows Filtering Platform has permitted a connection.

Application Information:
    Process ID:     2160
    Application Name:   \device\harddiskvolume2\windows\system32\svchost.exe

Network Information:
    Direction:      Inbound
    Source Address:     192.168.15.25
    Source Port:        5353
    Destination Address:    224.0.0.251
    Destination Port:       5353
    Protocol:       17

Filter Information:
    Filter Run-Time ID: 81091
    Layer Name:     Receive/Accept
    Layer Run-Time ID:  44

另一个 185,103 是同样的东西，但用System代替\device\harddiskvolume2\windows\system32\svchost.exe。

我用它做什么？最重要的是我如何让它停止？

1 个回答

Voted

Greg Askew · Answer 1 · 2024-05-13T20:44:02+08:00

Best Answer

Greg Askew

2024-05-13T20:44:02+08:002024-05-13T20:44:02+08:00

这意味着您启用了 Windows 过滤平台连接允许/删除审核。

世界粮食计划署审计 100% 无用，默认情况下处于禁用状态。众所周知，它还存在误报——在连接未断开时记录已断开的连接。

除非您知道需要它，否则您应该在必须配置审核的组策略中禁用它。

如果未在策略中配置，您还可以在命令提示符下使用auditpol.exe 禁用它。

auditpol /set /subcategory:"Filtering Platform Connection" /success:disable  /failure:disable 

auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable  /failure:disable

https://www.ultimatewindowssecurity.com/securitylog/book/page.aspx?spid=chapter7#FiltDrop

https://learn.microsoft.com/en-us/windows/win32/fwp/auditing-and-logging

0

配置事件查看器中记录的内容

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

配置事件查看器中记录的内容

1 个回答

相关问题