WFP(Windows 필터링 플랫폼)는 패킷 삭제 및 IKE/AuthIP 오류의 로깅을 제공합니다.
기록된 이벤트는 FWPM_NET_EVENT_TYPE 열거형 형식으로 정의되며 다음과 같습니다.
- IKE/AuthIP 주 모드 오류
- IKE/AuthIP 빠른 모드 오류
- AuthIP 확장 모드 오류입니다.
- 분류하는 동안 패킷이 삭제되었습니다.
- IPsec에 의해 삭제된 패킷입니다.
기본적으로 WFP에 대한 로깅은 유니캐스트 인바운드 패킷 및 모든 아웃바운드 패킷(유니캐스트, 멀티캐스트 및 브로드캐스트)에 대해 사용하도록 설정됩니다. 로깅은 FwpmEngineSetOptions0 관리 함수를 통해 나머지 패킷에 대해 사용하거나 모든 패킷에 대해 사용하지 않도록 설정할 수 있습니다. 이벤트 설정은 다시 부팅 시 유지됩니다.
기록된 이벤트는 순환 로그에 저장됩니다. 즉, 로그가 최대 크기에 도달하면 이전 이벤트를 재정의하고 WFP에서 제공하는 이벤트 관리 함수를 사용하여 분석할 수 있습니다. 이벤트 로그의 최대 크기는 128KB이며 약 100~150개의 이벤트를 보유할 수 있습니다.
일반적으로, 같은 열거형 함수와 특히 FwpmNetEventEnum0/FwpmNetEventEnum1는 열거형 핸들이 만들어지는 시점에 로그의 스냅샷을 만듭니다. 동일한 열거형 핸들을 사용하는 후속 호출은 마지막 출력 버퍼에 있는 항목 다음에 오는 다음 항목 집합을 반환합니다.
애플리케이션에서 FwpmEngineSetOptions0호출하여 WFP 로깅을 사용하지 않도록 설정하면 모든 애플리케이션이 영향을 받습니다. 애플리케이션이 WFP 로깅을 다시 사용하도록 설정할 때까지 이벤트 로그가 정리되지 않지만 그 전에는 이벤트 로그를 쿼리할 수 없습니다.
다시 부팅한 후 WFP 이벤트 로그가 비워집니다.