Windows 篩選平台 (WFP) 提供封包丟棄和 IKE/AuthIP 失敗的記錄。
記錄的事件定義於 FWPM_NET_EVENT_TYPE 列舉型別中,如下所示。
- IKE/AuthIP 主要模式失敗。
- IKE/AuthIP 快速模式失敗。
- AuthIP 擴充模式發生失敗。
- 在分類時丟棄的封包。
- IPsec 丟棄的封包。
根據預設,糧食計劃署的記錄會針對單播輸入封包和所有輸出封包啟用(單播、多播和廣播)。 您可以透過 FwpmEngineSetOptions0 管理功能,為其餘封包啟用記錄,或針對所有封包停用記錄。 事件設定會在重新啟動時持續存在。
記錄的事件會儲存在環形日誌中,也就是當日誌達到最大容量時,新事件會覆蓋舊的事件,並可以使用 WFP 提供的 事件管理 函數進行分析。 事件記錄檔的大小上限為 128 KB,而且可以保存大約 100 到 150 個事件。
列舉函數通常,尤其是 FwpmNetEventEnum0/FwpmNetEventEnum1,會在建立枚舉控制代碼時擷取日誌的快照。 使用相同列舉句柄的後續呼叫會傳回跟隨在最後一次輸出緩衝區之後的下一組項目。
當應用程式停用 WFP 記錄時(藉由呼叫 FwpmEngineSetOptions0),所有應用程式都會受到影響。 在應用程式重新啟用 WFP 記錄之前,不會清除事件記錄檔,但事件記錄檔在之後無法查詢。
重新啟動之後會清空 WFP 事件記錄檔。