Resolvido: Estratégias Sobre Como Recuperar O Log 6 Do ID De Evento 5157
December 4, 2021Aqui estão algumas técnicas básicas que podem ajudá-lo a fazer trobleshoot e corrigir a ID de evento 5157 no Log 6.
Recomendado: Fortect
Tipo de. Auditoria de bug. O Windows Wood registra o evento 5157 quando o WFP interrompe a conexão entre o programa de computador e o processo. Esta empresa diferente agora pode residir no mesmo computador, além do computador de suporte de desktop remoto.
Este evento ocorre quando Windows Filtering Platform encerra o romance.
Nota. As recomendações para este evento podem ser encontradas em Segurança em Recomendações de monitoramento .
- - 5157 1 dois 12810 0 0x80100000000000000 304390 Segurança DC01.contoso.local - 4556 dispositivo harddiskvolume2 items listener.exe %% 14592 Name = "SourceAddress"> 10 3333 10.0.0.100 49218 6 110398 %% 14610 47 S-1-0-0 S-1-0-0
ID do processo [type = ponteiro]: hex O identificador adicional do processo que fez a amostragem para estabelecer a conexão. O ID do processo (PID) é um número colocado em uso por esses sistemas operacionais para identificar distintamente cada processo ativo. Para mostrar claramente o PID de um método específico, você pode, por exemplo, usar Tarefa (guia Detalhes do supervisor, coluna PID):
Se você converter o tipo diretamente de hex para decimal, poderá compará-lo com os valores no Gerenciador de Tarefas.
Agora você pode encaminhar este ID de processo para o ID do empreendimento em outros eventos, para a ilustração “ 4688 : Novo processo criado” Informações do processo Novo ID do processo.
Nome do aplicativo [tipo UnicodeString]: indica o caminho completo e direi o nome do arquivo exe para cada processo.
Lógico é o disco rígido que parece estar na pasta hard disk process harddiskvolume #. Você obtém o volume de todos os lugares usando a fonte de alimentação do Diskpart. Comando para acessar números de volume usando Diskpart – “Lista de Volume”:
Direção [Tipo é UnicodeString]: A direção referente à conexão conectada.
Entrada – para conexões de entrada.
Recomendado: Fortect
Você está cansado de ver seu computador lento? Está cheio de vírus e malware? Não tema, meu amigo, pois Fortect está aqui para salvar o dia! Esta poderosa ferramenta foi projetada para diagnosticar e reparar todos os tipos de problemas do Windows, ao mesmo tempo em que aumenta o desempenho, otimiza a memória e mantém seu PC funcionando como novo. Então não espere mais - baixe o Fortect hoje mesmo!
- 1. Baixe e instale o Fortect
- 2. Abra o programa e clique em "Digitalizar"
- 3. Clique em "Reparar" para iniciar o processo de reparo
Saída – para relacionamentos não relacionados.
Endereço de origem [Tipo é igual a UnicodeString]: o endereço IP local por meio do qual o aplicativo do iPhone recebeu uma conexão principal.
O Packet Drop Audit Filtering Framework determina se uma boa instrução gera eventos de auditoria quando os pacotes são normalmente descartados por esse Windows Filtering Framework. Um grande número de pacotes reduzidos pode indicar que 1 tentativa foi feita para estabelecer conexões indesejadas com computadores na própria rede.
Endereço IPv4
Endereço IPv6
:: Todos – endereços IP IPv6
0.0.0.0 – todos os endereços IP no componente
127 ipv4.0.0.1, – :: etapa 1 local
-
Porta de origem [Type = UnicodeString]: A variedade de portas da qual o aplicativo recebeu a última conexão.
Endereço de destino [Type = UnicodeString]: O endereço IP possivelmente iniciado pela conexão recebida.
Endereço IPv4
Endereço IPv6
:: Todos – Bate-papo IPv6 IP
0.0.0.0 – – todos os endereços IP no tema
127 ipv4.0.0.1, :: um ou dois – local
Porta de destino [Type = UnicodeString]: a porta que parece ter sido usada pela estação de trabalho remota do PC para iniciar a conexão.
Protocolo [tipo assume UInt32]: número no protocolo padrão usado.
ID do tempo de execução do filtro [Tipo igual a UInt64]: ID exclusivo da tela que bloqueou a conexão.
Para encontrar um ID de filtro específico dedicado pela plataforma de filtragem do Windows, controle o seguinte comando: netsh wfp television show filter. Como resultado deste comando de abordagem, a imagem filter.xml é feita. Abra este conteúdo e obtenha uma substring específica com um identificador de filtro resultante (
), por exemplo: Nome da camada [Tipo implica UnicodeString]: Aplicativo do aplicativo O nome da camada de cobertura. Tempo de execução
Monitoramento do Windows Home Monitoring é uma propriedade do Windows que ajuda a manter a segurança em redes de computadores e administradores. O Monitoramento do Windows é usado para rastrear a atividade do usuário, investigações forenses e de lesões e solução de problemas.
ID da camada [tipo é UInt64]: a ID de um novo corpus da plataforma de filtragem do Windows. Para localizar um ID de nível de plataforma de filtragem do Windows específico, execute o seguinte comando: netsh wfp show state. O arquivo wfpstate.xml do usuário é criado como um resultado de última geração desse comando. Abra esses arquivos e encontre a substring aprovada com a identidade de camada necessária (
), por exemplo:
Práticas recomendadas de segurança
Se você tiver um aplicativo grande e pronto para usar que gostaria de ser adquirido para realizar sua operação, que é basicamente sinalizado para esse evento, procure verificações de aplicativos, que não são um aplicativo escolhido a dedo.
Você pode continuar a verificar se “Aplicativo” voltou à pasta padrão (por exemplo, em relação aos arquivos da Internet). Você
Se você tiver um catálogo predefinido de podsstrings restritos, talvez palavras localizadas em nomes de aplicativos (para ilustração “mimikatz” ou então “cain.exe”), verifique-o com substrings de … “Aplicativo” < / p>
Faça naturalmente que o “endereço de origem” seja um dos endereços atribuídos ao sistema do computador.
Se uma função de computador não pode acessar a Internet, ou quase não contém situações que não se conectam à Internet, observe as ocorrências 5157 , onde “Endereço de destino” é o endereço IP de você veja, a Internet (não de intervalos de IP privados).
Se você sabe que muitos dos computadores do seu escritório nunca devem, em nenhuma circunstância, ser associados a endereços IP reais na rede, use esses endereços no campo Endereço de destino.
Se todos tiverem uma lista de endereços IP de rua com os quais a maioria dos computadores ou dispositivos procuram se comunicar ou simplesmente falam, rastreie todos os endereços IP com o uso de um “endereço de destino” que talvez não esteja na lista de autorização primária.
Se você precisa manter todas as conexões de entrada em uma porta local, monitore 5157 em confabulação com esta “porta de origem”.
Monitore tudo e a interação usando um “número de protocolo” não familiar para este computador ou computador, quando por exemplo, maior que 1, 6, potencialmente 17.
Se uma “porta de destino” distinta for sempre usada como forma de comunicação entre o computador principal e também o “endereço de destino”, monitore todas as “portas de destino” restantes.
- 4 minutos quando você precisar ler.
Event Id 5157 Protocol 6
Identifikator Sobytiya 5157 Protokol 6
Ereignis Id 5157 Protokoll 6
Identifiant D Evenement 5157 Protocole 6
Handelse Id 5157 Protokoll 6
Identyfikator Zdarzenia 5157 Protokol 6
Id Evento 5157 Protocollo 6
Gebeurtenis Id 5157 Protocol 6
Id De Evento 5157 Protocolo 6
이벤트 Id 5157 프로토콜 6