해결됨: 복구 이벤트 ID 5157 기호 6 사용

December 7, 2021 By Mohammed Butcher Off

Table of Contents

다음은 로그 6의 이벤트 ID 5157 문제를 해결하는 데 도움이 되는 몇 가지 간단한 기술입니다.

권장: Fortect

<리>1. Fortect 다운로드 및 설치

2. 프로그램을 열고 "스캔"을 클릭하십시오.

3. 복구 프로세스를 시작하려면 "복구"를 클릭하십시오.

이 소프트웨어를 다운로드하고 몇 분 안에 PC를 수정하십시오. 년

유형. 버그 감사. WFP가 프로그램과 새 프로세스 간의 연결을 끊으면 Windows Wood wood는 이벤트 5157을 기록합니다. 이 다른 프로세스는 원격 컴퓨터 외에도 동일한 컴퓨터에 주저 없이 상주할 수 있습니다.

이 이벤트는 Windows 필터링 플랫폼 이 연결을 닫을 때 발생합니다.

<인용>

참고. 이 이벤트에 대한 권장 사항은 모니터링 권장 사항에 따른 보안 에서 얻을 수 있습니다.

  - 를 의미합니다.- <시스템> <제공자 이름 = Guid "Microsoft-Windows-Security-Audit" = "54849625-5478-4994-A5BA-3E3B0328C30D" />  5157  <버전> 1   없음   <태스크> 12810   6  <키워드> 0x80100000000000000    304390  <상관관계 /> <실행 프로세스 ID = "4" ThreadID = "4520" />   보안   DC01.contoso.local  <보안 /> - <이벤트 데이터> <데이터 이름 = "프로세스 ID"> 4556  <데이터 이름 = "응용 프로그램">  액세서리  harddiskvolume2  데이터 파일  listener.exe  <데이터 이름은 "방향"> %% 14592 와 같습니다. 이름은 "SourceAddress"> 10  <데이터와 같습니다. 이름은 "SourcePort"> 3333  <데이터를 의미합니다. 이름은 "DestAddress"> 10.0.0.100 와 같습니다. <데이터 이름은 "DestPort"> 49218 를 의미합니다. <데이터 이름은 "프로토콜"> 6 와 같습니다. <데이터 이름은 "FilterRTID"> 110398 와 같습니다. <데이터 이름은 "LayerName"> %% 14610 를 의미합니다. <데이터 사용자 이름 = "LayerRTID"> 44  <데이터 브랜드 = "RemoteUserID"> S-1-0-0  <데이터 주소 = "RemoteMachineID"> S-1-0-0

<울>

프로세스 ID [유형은 포인터와 같음]: 16진수 연결을 생성하려고 시도한 프로세스와 관련된 추가 식별자입니다. 프로세스 ID(PID)는 이러한 종류의 운영 체제에서 두 활성 프로세스를 고유하게 식별하는 데 사용하는 숫자입니다. 특정 프로세스의 PID를 표시하기 위해 예를 들어 작업(감독자 세부 정보 탭, PID 열)을 사용할 수 있습니다.

온 가족이 시중에 나와 있는 16진수에서 10진수로 유형을 변환하면 작업 관리자에서 그 값과 비교할 수 있습니다.

이제 이 단계 ID를 다른 이벤트에 있는 프로세스 ID에 매핑할 수 있습니다(예: “ 4688 : New Process Created” Process Info New Process ID).

응용 프로그램 이름 [UnicodeString type]: = 철저한 경로 및 각 프로세스에서 실행 파일의 정확한 이름을 말하겠습니다.

논리는 일반적으로 하드 디스크 장치 하드 디스크 볼륨 번호 폴더에 나타나는 하드 드라이브입니다. 각 Diskpart 전원 공급 장치를 사용하여 모든 방의 볼륨을 얻을 수 있습니다. Diskpart를 사용하여 볼륨 번호를 찾는 명령입니다. . . “볼륨 목록”:

<울>

방향 [Type is also UnicodeString]: 설정 연결의 방향입니다.

<울>

인바운드 – 들어오는 연결을 지원합니다.

권장: Fortect

컴퓨터가 느리게 실행되는 것이 지겹습니까? 바이러스와 맬웨어로 가득 차 있습니까? 친구여, 두려워하지 마십시오. Fortect이 하루를 구하러 왔습니다! 이 강력한 도구는 모든 종류의 Windows 문제를 진단 및 복구하는 동시에 성능을 높이고 메모리를 최적화하며 PC를 새 것처럼 유지하도록 설계되었습니다. 그러니 더 이상 기다리지 마십시오. 지금 Fortect을 다운로드하세요!

<리>1. Fortect 다운로드 및 설치

2. 프로그램을 열고 "스캔"을 클릭하십시오.

3. 복구 프로세스를 시작하려면 "복구"를 클릭하십시오.

아웃바운드 – 관련 없는 연결용입니다.

소스 주소 [Type = UnicodeString ]: 일반적으로 iPhone 응용 프로그램이 연결을 수신하는 데 사용되는 일반적으로 로컬 IP 주소입니다.

<울>

패킷 삭제 감사 필터링 프레임워크는 Windows 필터링 프레임워크에서 패킷을 관례적으로 삭제하는 경우 명령문이 감사 이벤트를 생성하는지 여부를 결정합니다. 많은 수의 축소된 패키지는 네트워크에 있는 컴퓨터가 무단으로 연결되도록 시도한 것으로 나타날 수 있습니다.

IPv4 주소

IPv6 주소

:: 전체 – IPv6 IP 주소 연락처 정보

0.0.0.0 – 형식의 모든 IP 주소

100개 이상의 ipv4.0.0.1, – :: 1 카운티

소스 포트 [Type is equal to UnicodeString]: 응용 프로그램이 연결을 수신한 포트 번호입니다.

대상 주소 [Type = UnicodeString ]: 수신된 연결로 인해 잠재적으로 시작된 IP 주소입니다.

0.0.0.0 – 형식의 유일한 IP 주소

100개 이상의 ipv4.0.0.1, :: 2 – 이웃

대상 포트 [유형이 UnicodeString과 같음]: 원격 컴퓨터에서 연결을 시작하기 위해 선택한 포트입니다.

프로토콜 [유형은 UInt32를 가정함]: 사용된 수준 프로토콜의 번호입니다.

<테이블 가독성 데이터 테이블은 "1"><머리>

서비스 프로토콜 번호

<본체>

인터넷 제어 메시지 프로토콜(ICMP) 하나만 전송 제어 프로토콜(TCP) 저렴한 휴가 사용자 데이터그램 프로토콜(UDP) 17 일반 라우팅 캡슐화(GRE를 통한 PPTP 데이터) 48 IPSec 인증 헤더(AH) 오십일 IPSec 캡슐화 보안 페이로드 50 외부 게이트웨이 프로토콜(구체적으로는)(EGP) 8 게이트웨이 프로토콜(GGP) 3 호스트 모니터링 프로토콜(HMP) 20-30 인터넷 그룹 관리 프로토콜(IGMP) 여든여덟 원격 가상 디스크(RVD) 사용 66 OSPF 최단 경로 우선 열기 다섯 번째 테레르 89 패킷 프로토콜 범용 PARC(PUP) 18 신뢰할 수 있는 데이터그램 프로토콜(RDP) 27 QoS 중복 프로토콜(RSVP) 46

<울>

필터 런타임 ID [Type = UInt64]: 연결을 차단한 필터의 고유 ID입니다.

특정 Windows 필터링 플랫폼에서 신뢰하는 모든 특정 필터 ID를 찾으려면 다음 명령을 실행하십시오. netsh wfp show filter. 이 명령의 결과로 현재 filter.xml 이미지가 생성됩니다. 이 콘텐츠를 열고 결과 필터 식별자()가 있는 실제 특정 하위 문자열을 찾으십시오. 예:

레이어 이름 [Type = UnicodeString]: 애플리케이션 애플리케이션 커버 레이어와 연결된 이름입니다. 런타임

모니터링 Windows 홈 모니터링은 컴퓨터 및 관리 네트워크에서 유지 관리하는 데 도움이 되는 실제 Windows 속성입니다. Windows 모니터링은 문제 해결과 함께 개인 활동, 포렌식 및 사건 조사를 추적하는 데 사용됩니다.

레이어 ID [유형은 UInt64임]: Windows 필터링 플랫폼 코퍼스의 ID입니다. 고유한 Windows 필터링 플랫폼 수준 ID를 찾으려면 다음 명령을 수행하십시오. netsh wfp have show state. 이 명령에 첨부된 새 결과로 사용자의 wfpsstate.xml 파일이 생성되었습니다. 이 파일을 열고 결과적으로 필요한 레이어 ID()가 있는 정규화된 하위 문자열을 찾습니다. 예를 들면 다음과 같습니다.