ログの勉強をしています。その時に困ったことがあったのでメモに残します。イベントID 5156 が大量に出力されていて困っていました。どうしたらいいのでしょうか?
イベントID 5156 とは?
イベントID 5156 とは、Windows Filtering Platform(WFP)から出力されるログです。WFPは、は、Windows のネットワークスタックに統合されたフレームワークで、ネットワークパケットのフィルタリングと処理を行うための仕組み です。
これは、Windows Vista 以降の OS に導入され、主に ファイアウォールやネットワークセキュリティの管理 に使用されます。Windows の 「Windows Defender ファイアウォール」 や 「IPsec」 なども WFP を利用して動作しています。
止めてもいいの?
WPFに関連するログは以下の通りです。
イベント ID | 説明 |
5156 | アプリケーションが新しいネットワーク接続を確立した |
5157 | ファイアウォールが接続をブロックした |
5158 | アウトバウンド接続が許可された |
5159 | パケットがファイアウォールのルールでブロックされた |
WPF に関連するログは 5156 だけではないので、とめちゃっても大丈夫でしょ!しょ!(自己責任でお願いいたします。)
イベントID 5156 の止め方
現在の監査ポリシーを確認して、5156 の記録が有効になっているかを確認します。PowerShell で以下のコマンドを実行してください。
auditpol /get /subcategory:"フィルタリング プラットフォームの接続"
システム監査ポリシー
カテゴリ/サブカテゴリ 設定
オブジェクト アクセス
フィルタリング プラットフォームの接続 成功および失敗
「成功および失敗」と表示されていましたら、5156 が記録されています。
5156 のイベントログを出力しないようにするには、以下のコマンドを実行します。
auditpol /set /subcategory:"フィルタリング プラットフォームの接続" /success:disable /failure:disable
もう一度設定を確認します。
auditpol /get /subcategory:"フィルタリング プラットフォームの接続"
システム監査ポリシー
カテゴリ/サブカテゴリ 設定
オブジェクト アクセス
フィルタリング プラットフォームの接続 監査なし
「監査なし」になりましたね。これでイベントID 5156 は出力されなくなります。
<補足>
auditpol コマンドを実行する際、指定するカテゴリー名が日本語で入力する必要がありました。(今回の場合は “フィルタリング プラットフォームの接続“)「日本語入力するの??」と少しびっくりしました。カテゴリー名一覧と設定内容を取得する方法は以下のコマンドです。
auditpol /get /category:*
まとめ
イベントID 5156 の出力を止めるには、auditpol コマンドを使用する。
ログ関係の教科書的な書籍はないのでしょうか?体系的に勉強したいです。あまり需要はなさそうですが…私は買いますよー!
コメント