イベントID 5156 吐き出されすぎ…

PowerShell
スポンサーリンク

ログの勉強をしています。その時に困ったことがあったのでメモに残します。イベントID 5156 が大量に出力されていて困っていました。どうしたらいいのでしょうか?

スポンサーリンク

イベントID 5156 とは?

イベントID 5156 とは、Windows Filtering Platform(WFP)から出力されるログです。WFPは、は、Windows のネットワークスタックに統合されたフレームワークで、ネットワークパケットのフィルタリングと処理を行うための仕組み です。

これは、Windows Vista 以降の OS に導入され、主に ファイアウォールやネットワークセキュリティの管理 に使用されます。Windows の 「Windows Defender ファイアウォール」 や 「IPsec」 なども WFP を利用して動作しています

止めてもいいの?

WPFに関連するログは以下の通りです。

イベント ID説明
5156アプリケーションが新しいネットワーク接続を確立した
5157ファイアウォールが接続をブロックした
5158アウトバウンド接続が許可された
5159パケットがファイアウォールのルールでブロックされた

WPF に関連するログは 5156 だけではないので、とめちゃっても大丈夫でしょ!しょ!(自己責任でお願いいたします。)

イベントID 5156 の止め方

現在の監査ポリシーを確認して、5156 の記録が有効になっているかを確認します。PowerShell で以下のコマンドを実行してください。

auditpol /get /subcategory:"フィルタリング プラットフォームの接続"
システム監査ポリシー
カテゴリ/サブカテゴリ     設定
オブジェクト アクセス
  フィルタリング プラットフォームの接続    成功および失敗

「成功および失敗」と表示されていましたら、5156 が記録されています。

5156 のイベントログを出力しないようにするには、以下のコマンドを実行します。

auditpol /set /subcategory:"フィルタリング プラットフォームの接続" /success:disable /failure:disable

もう一度設定を確認します。

auditpol /get /subcategory:"フィルタリング プラットフォームの接続"
システム監査ポリシー
カテゴリ/サブカテゴリ     設定
オブジェクト アクセス
  フィルタリング プラットフォームの接続    監査なし

「監査なし」になりましたね。これでイベントID 5156 は出力されなくなります。

<補足>

auditpol コマンドを実行する際、指定するカテゴリー名が日本語で入力する必要がありました。(今回の場合は “フィルタリング プラットフォームの接続“)「日本語入力するの??」と少しびっくりしました。カテゴリー名一覧と設定内容を取得する方法は以下のコマンドです。

auditpol /get /category:*

まとめ

イベントID 5156 の出力を止めるには、auditpol コマンドを使用する。

ログ関係の教科書的な書籍はないのでしょうか?体系的に勉強したいです。あまり需要はなさそうですが…私は買いますよー!

コメント

タイトルとURLをコピーしました