none
WFP 로그 RRS feed

  • 질문

  • WFP를 이용해서 포트제어를 하고 시스템 이벤트 로그로 로그를 수집하고 있었는데요

    시스템 이벤트 로그 용량이 부담스러워서 로그 수집방법을 다른 방법을 알아보고 있습니다.

    FwpmNetEventSubscribe 를 이용해서 로그수집을 해보고 있는데요

    FWPM_NET_EVENT_TYPE_CLASSIFY_DROP 패킷은 노티가 잘 오는데요

    FWPM_NET_EVENT_TYPE_CLASSIFY_ALLOW 패킷은 노티가 오지 않습니다.

    2012, 2016 서버 모두 동일하네요

    IPSEC 정책을 이용하여 차단/허용정책 각각 걸었습니다.

    뭐가 잘못된것인지 문의드립니다.


    • 편집됨 kochun's 2017년 8월 8일 화요일 오전 2:48
    2017년 8월 8일 화요일 오전 2:45

답변

모든 응답

  • 일단, 잘모르겠지만, https://msdn.microsoft.com/en-us/library/windows/desktop/aa364282(v=vs.85).aspx 문서를 보면, FWPM_NET_EVENT_TYPE_CLASSIFY_ALLOW 의 경우는 win8/winsvr2012 에서만 가능한 것으로 나와 있습니다. (later 라는 언급이 없으므로, 2016에서는 안되지 않을 까 하구요 ... WinSvr 2012 R2도 안될지도 모르겠네요 ... )

    FWPM_NET_EVENT_TYPE_CLASSIFY_ALLOW

    An allow event has occurred.

    Note  Available only in Windows 8 and Windows Server 2012.

    2017년 8월 9일 수요일 오전 6:27
  • 2012에서만 될거라는 생각은 못해봤네요. 당연히 2012이상은 될거라고 생각했군요..

    그래서 방금 2012에서 IPSEC 허용정책걸고 Net Event 테스트 해봤는데

    여전히 drop은 오는데 allow는 남지 않네요

    https://msdn.microsoft.com/ko-kr/library/windows/desktop/bb870634(v=vs.85).aspx

    여기에 보면

    The logged events are defined in the FWPM_NET_EVENT_TYPE enumerated type and are as follows.

    • IKE/AuthIP main mode failures.
      • IKE/AuthIP quick mode failures.
      • AuthIP extended mode failures.
      • Packets dropped during classification.
    • Packets dropped by IPsec.

    drop 패킷내용만 있긴한데 classify_allow net event type이 있길래 기대를 함 해보고 있었습니다.

    혹시 다른방법으로라도 wfp 로그를 수집할 수 있는 방법 없을까요? 시스템 이벤트 로그 제외하고?

    같이 고민해주셔서 감사합니다.

    2017년 8월 10일 목요일 오전 2:14