Resolvido: Estratégias Sobre Como Recuperar O Log 6 Do ID De Evento 5157

December 4, 2021 By Brian Moses Off

Table of Contents

Aqui estão algumas técnicas básicas que podem ajudá-lo a fazer trobleshoot e corrigir a ID de evento 5157 no Log 6.

Recomendado: Fortect

1. Baixe e instale o Fortect

2. Abra o programa e clique em "Digitalizar"

3. Clique em "Reparar" para iniciar o processo de reparo

Baixe este software e conserte seu PC em minutos.

Tipo de. Auditoria de bug. O Windows Wood registra o evento 5157 quando o WFP interrompe a conexão entre o programa de computador e o processo. Esta empresa diferente agora pode residir no mesmo computador, além do computador de suporte de desktop remoto.

Este evento ocorre quando Windows Filtering Platform encerra o romance.

id do evento 5157 processo 6

Nota. As recomendações para este evento podem ser encontradas em Segurança em Recomendações de monitoramento .

  - -    5157   1   dois    12810   0   0x80100000000000000    304390      Segurança   DC01.contoso.local   -   4556    dispositivo  harddiskvolume2  items  listener.exe   %% 14592  Name = "SourceAddress"> 10   3333   10.0.0.100   49218   6   110398   %% 14610   47   S-1-0-0   S-1-0-0

ID do processo [type = ponteiro]: hex O identificador adicional do processo que fez a amostragem para estabelecer a conexão. O ID do processo (PID) é um número colocado em uso por esses sistemas operacionais para identificar distintamente cada processo ativo. Para mostrar claramente o PID de um método específico, você pode, por exemplo, usar Tarefa (guia Detalhes do supervisor, coluna PID):
Se você converter o tipo diretamente de hex para decimal, poderá compará-lo com os valores no Gerenciador de Tarefas.
Agora você pode encaminhar este ID de processo para o ID do empreendimento em outros eventos, para a ilustração “ 4688 : Novo processo criado” Informações do processo Novo ID do processo.
Nome do aplicativo [tipo UnicodeString]: indica o caminho completo e direi o nome do arquivo exe para cada processo.
Lógico é o disco rígido que parece estar na pasta hard disk process harddiskvolume #. Você obtém o volume de todos os lugares usando a fonte de alimentação do Diskpart. Comando para acessar números de volume usando Diskpart – “Lista de Volume”:

Direção [Tipo é UnicodeString]: A direção referente à conexão conectada.
- Entrada – para conexões de entrada.
- Recomendado: Fortect
  Você está cansado de ver seu computador lento? Está cheio de vírus e malware? Não tema, meu amigo, pois Fortect está aqui para salvar o dia! Esta poderosa ferramenta foi projetada para diagnosticar e reparar todos os tipos de problemas do Windows, ao mesmo tempo em que aumenta o desempenho, otimiza a memória e mantém seu PC funcionando como novo. Então não espere mais - baixe o Fortect hoje mesmo!
- 1. Baixe e instale o Fortect
- 2. Abra o programa e clique em "Digitalizar"
- 3. Clique em "Reparar" para iniciar o processo de reparo

Saída – para relacionamentos não relacionados.

Endereço de origem [Tipo é igual a UnicodeString]: o endereço IP local por meio do qual o aplicativo do iPhone recebeu uma conexão principal.

O Packet Drop Audit Filtering Framework determina se uma boa instrução gera eventos de auditoria quando os pacotes são normalmente descartados por esse Windows Filtering Framework. Um grande número de pacotes reduzidos pode indicar que 1 tentativa foi feita para estabelecer conexões indesejadas com computadores na própria rede.
Endereço IPv4
Endereço IPv6
:: Todos – endereços IP IPv6
0.0.0.0 – todos os endereços IP no componente
127 ipv4.0.0.1, – :: etapa 1 local

Porta de origem [Type = UnicodeString]: A variedade de portas da qual o aplicativo recebeu a última conexão.

Endereço de destino [Type = UnicodeString]: O endereço IP possivelmente iniciado pela conexão recebida.

Endereço IPv4
Endereço IPv6
:: Todos – Bate-papo IPv6 IP
0.0.0.0 – – todos os endereços IP no tema
127 ipv4.0.0.1, :: um ou dois – local

Porta de destino [Type = UnicodeString]: a porta que parece ter sido usada pela estação de trabalho remota do PC para iniciar a conexão.

Protocolo [tipo assume UInt32]: número no protocolo padrão usado.

Serviço Número de telefone do protocolo

Internet Control Message Protocol (ICMP) 1 Protocolo de Controle de Transmissão (TCP) 6 Protocolo de datagrama do usuário (UDP) 17 Encapsulamento de roteamento genérico (dados PPTP sobre GRE) 47 Cabeçalho de autenticação IPSec (AH) 51 Carga útil de segurança de encapsulamento IPSec 50 Protocolo de gateway externo (especificamente) (EGP) 11 Protocolo de gateway (GGP) um punhado de Protocolo de monitoramento de host (HMP) algo como 20 Protocolo de Gerenciamento de Grupo da Internet (IGMP) 88 Com Disco Virtual Remoto (RVD) sessenta e seis OSPF Open Shortest Path First 89 Protocolo de pacote PARC universal (PUP) 12 Protocolo de datagrama confiável (RDP) 27 Protocolo de Redundância de QoS (RSVP) quarenta e seis

ID do tempo de execução do filtro [Tipo igual a UInt64]: ID exclusivo da tela que bloqueou a conexão.
Para encontrar um ID de filtro específico dedicado pela plataforma de filtragem do Windows, controle o seguinte comando: netsh wfp television show filter. Como resultado deste comando de abordagem, a imagem filter.xml é feita. Abra este conteúdo e obtenha uma substring específica com um identificador de filtro resultante (), por exemplo:
Nome da camada [Tipo implica UnicodeString]: Aplicativo do aplicativo O nome da camada de cobertura. Tempo de execução
Monitoramento do Windows Home Monitoring é uma propriedade do Windows que ajuda a manter a segurança em redes de computadores e administradores. O Monitoramento do Windows é usado para rastrear a atividade do usuário, investigações forenses e de lesões e solução de problemas.
ID da camada [tipo é UInt64]: a ID de um novo corpus da plataforma de filtragem do Windows. Para localizar um ID de nível de plataforma de filtragem do Windows específico, execute o seguinte comando: netsh wfp show state. O arquivo wfpstate.xml do usuário é criado como um resultado de última geração desse comando. Abra esses arquivos e encontre a substring aprovada com a identidade de camada necessária (), por exemplo:

Práticas recomendadas de segurança

Se você tiver um aplicativo grande e pronto para usar que gostaria de ser adquirido para realizar sua operação, que é basicamente sinalizado para esse evento, procure verificações de aplicativos, que não são um aplicativo escolhido a dedo.
Você pode continuar a verificar se “Aplicativo” voltou à pasta padrão (por exemplo, em relação aos arquivos da Internet). Você
Se você tiver um catálogo predefinido de podsstrings restritos, talvez palavras localizadas em nomes de aplicativos (para ilustração “mimikatz” ou então “cain.exe”), verifique-o com substrings de … “Aplicativo” < / p>
Faça naturalmente que o “endereço de origem” seja um dos endereços atribuídos ao sistema do computador.
Se uma função de computador não pode acessar a Internet, ou quase não contém situações que não se conectam à Internet, observe as ocorrências 5157 , onde “Endereço de destino” é o endereço IP de você veja, a Internet (não de intervalos de IP privados).
Se você sabe que muitos dos computadores do seu escritório nunca devem, em nenhuma circunstância, ser associados a endereços IP reais na rede, use esses endereços no campo Endereço de destino.
Se todos tiverem uma lista de endereços IP de rua com os quais a maioria dos computadores ou dispositivos procuram se comunicar ou simplesmente falam, rastreie todos os endereços IP com o uso de um “endereço de destino” que talvez não esteja na lista de autorização primária.
Se você precisa manter todas as conexões de entrada em uma porta local, monitore 5157 em confabulação com esta “porta de origem”.
Monitore tudo e a interação usando um “número de protocolo” não familiar para este computador ou computador, quando por exemplo, maior que 1, 6, potencialmente 17.
Se uma “porta de destino” distinta for sempre usada como forma de comunicação entre o computador principal e também o “endereço de destino”, monitore todas as “portas de destino” restantes.