Решено: информация о том, как восстановить событие с идентификатором 5157, знак 6
December 4, 2021Вот несколько простых подходов, которые могут помочь устранить неполадки события с кодом 5157 в журнале 6.
Рекомендуется: Fortect
Тип. Баг-аудит. Windows Wood регистрирует событие 5157, когда WFP устанавливает соединение между программой и процессом. Этот другой процесс, безусловно, теперь может находиться на одной и той же компьютерной рабочей станции в дополнение к тихому компьютеру.
Это особое событие происходит, когда платформа фильтрации Windows закрывает соединение.
<цитата>
Примечание. Рекомендации для этого события можно найти в разделе Безопасность в разделе “Рекомендации по мониторингу” .
- <событие xmlns означает «http://schemas.microsoft.com/win/2004/08/events/event»>- <система> 5157 1 2 12810 ноль 0x80100000000000000 304390 <Корреляция /> Безопасность DC01.contoso.local <Безопасность /> - <Данные о событии> 4556 <Имя данных равно "Приложение"> устройство harddiskvolume2 юридические документы listener.exe <Название данных подразумевает "Направление"> %% 14592 Имя равно "SourceAddress"> 10 3333 <Данные Name = "DestAddress"> 10.0.0.100 49218 6 110398 %% 14610 44 S-1-0-0 S-1-0-0
Идентификатор процесса [type = pointer]: hex Десятичный идентификатор процесса, который пытался установить соединение. Идентификатор процесса (PID) – это число, используемое этими операционными системами для уникального распознавания каждого активного процесса. Чтобы отобразить большую часть PID определенного процесса, вы действительно можете, например, использовать Task (вкладка Supervisor Details, столбец PID):
Если преобразовать тип из шестнадцатеричного в десятичный, можно сравнить все со значениями в диспетчере задач.
Теперь вы можете сопоставить этот тип идентификатора процесса с идентификатором процесса в других событиях, например, « 4688 : Создан новый процесс» Информация о процессе Новый идентификатор процесса.
Имя приложения [тип UnicodeString]: подразумевает полный путь, и я должен сообщить имя исполняемого файла, применяемого для каждого процесса.
Логический – это жесткий диск, который находится в папке жесткого диска gps harddiskvolume #. Вы можете захватить объем всех комнат, используя блок питания Diskpart. Команда доступа к номерам томов с помощью Diskpart – «Список томов»:
Направление [Тип – UnicodeString]: направление фактического подключенного соединения.
Inbound – для входящих подключений.
Рекомендуется: Fortect
Вы устали от медленной работы компьютера? Он пронизан вирусами и вредоносными программами? Не бойся, друг мой, Fortect здесь, чтобы спасти положение! Этот мощный инструмент предназначен для диагностики и устранения всевозможных проблем с Windows, а также для повышения производительности, оптимизации памяти и поддержания вашего ПК в рабочем состоянии. Так что не ждите больше - скачайте Fortect сегодня!
- 1. Скачайте и установите Fortect
- 2. Откройте программу и нажмите "Сканировать"
- 3. Нажмите "Восстановить", чтобы начать процесс восстановления.
а>Исходящий – для несвязанных подключений.
Исходный адрес [Type = UnicodeString]: локальный IP-адрес, через который приложение iPhone обычно получало веб-соединение.
Структура фильтрации аудита отбрасывания пакетов определяет, генерирует ли статья события аудита, когда пакеты, вероятно, обычно отбрасываются платформой фильтрации Windows. Большое количество уменьшенных пакетов может указывать на то, что была произведена проверка для установления неавторизованных сетей для компьютеров в вашей сети.
IPv4-адрес
IPv6-адрес
:: All – IP-адреса IPv6
0.0.0.0 – единственное, что IP-адреса в формате
более сотни ipv4.0.0.1, – :: 1 район
-
Порт источника [Type = UnicodeString]: номер порта, прямо из которого приложение получило аксессуар.
Адрес назначения [Тип равен UnicodeString]: IP-адрес, который может быть вызван полученным соединением.
IPv4-адрес
IPv6-адрес
:: All – IPv6 IP Chat
0.0.0.0 – множество IP-адресов в формате файла
127 ipv4.0.0.1, :: несколько – локальные
Порт назначения [Type = UnicodeString]: порт, который мог использоваться удаленным компьютером для установления соединения.
Протокол [предполагается, что тип UInt32]: номер используемого стандартного протокола.
Сервис | Протокол сотового номера |
---|---|
Протокол управляющих сообщений Интернета (ICMP) | шаг 1 |
Протокол управления передачей (TCP) | 6 |
Протокол дейтаграмм пользователя (UDP) | 17 |
Общая инкапсуляция маршрутизации (данные PPTP через GRE) | 47 |
Заголовок аутентификации IPSec (AH) | 51 |
Полезные данные безопасности инкапсуляции IPSec | 50 |
Протокол внешнего шлюза (в частности) (EGP) | 8 |
Протокол шлюза (GGP) | или выше |
Протокол мониторинга хоста (HMP) | 20 |
Протокол управления группами Интернета (IGMP) | 88 |
С удаленным виртуальным диском (RVD) | 66 |
OSPF сначала открывает кратчайший путь | пятое место 89 |
Универсальный пакетный протокол PARC (PUP) | 12 |
Протокол надежных датаграмм (RDP) | 27 |
Протокол резервирования QoS (RSVP) | 46 |
Идентификатор среды выполнения фильтра [Type = UInt64]: уникальный идентификатор фильтра, заблокировавшего соединение.
Чтобы найти конкретный идентификатор фильтра, которому доверяет в основном платформа фильтрации Windows, выполните следующую команду: netsh wfp show sieve. В результате этого командного термина создается изображение filter.xml. Откройте это содержимое и найдите новую конкретную подстроку с новым идентификатором фильтра (
), например: Имя слоя [Type = UnicodeString]: Application Application Телефон верхнего слоя. Время выполнения
Мониторинг Windows Home Мониторинг обычно является свойством Windows, которое помогает защитить безопасность в компьютерных и административных партнерских сетях cpa. Мониторинг Windows используется для отслеживания активности пользователей, криминалистического анализа и анализа инцидентов, а также устранения неполадок.
ID уровня [тип, безусловно, UInt64]: ID каждого корпуса нашей платформы фильтрации Windows. Чтобы найти конкретный идентификатор уровня платформы фильтрации Windows, выполните следующую команду: netsh wfp Teach state. Пользовательский файл wfpstate.xml для создается как новый прямой результат этой команды. Откройте эту папку и найдите квалифицированную подстроку, используя требуемый идентификатор слоя (
), из примера:
Рекомендации по безопасности
Если у вас есть какое-либо большое готовое приложение, которое необходимо приобрести для выполнения работы, о которой в первую очередь сигнализирует событие here, обратите внимание на инспекции приложений, которые не являются обычными использовать.
Вы можете отслеживать, находится ли «Приложение» в каждой папке по умолчанию (например, в файлах Интернета). Вы
Если у владельцев действительно есть предопределенный список, связанный с ограниченными подстроками, возможно, слова в именах форм приложения (например, «mimikatz», а также «cain.exe»), проверьте его с помощью подстрок внутри … «Приложение»
Убедитесь, что вы видите, «исходный адрес» – это один из, я бы сказал, адресов, назначенных компьютеру.
Если компонент компьютера никогда не может получить доступ к Интернету или создан только для тех случаев, когда не удается подключиться к Интернету, следите за праздниками 5157 , где “Целевой адрес “всегда является IP-адресом в Интернете (не из диапазонов частных IP-адресов).
Если вы знаете, что офисный компьютер человека ни при каких обстоятельствах не должен быть связан с определенными IP-адресами в сети, посмотрите, как эти адреса указаны в поле “Адрес назначения”.
Если вы ведете список IP-адресов, которые, по мнению экспертов, необходимы большинству компьютеров или устройств для связи или просто связи, отслеживайте все IP-адреса, используя свой «адрес назначения», который не из список первичной авторизации.
Если вам нужно полностью сохранить входящие соединения через специальный традиционный порт, монитор 5157 объединится с этим «исходным портом».
Следите за всем и подключениями, применяя «номер протокола», не типичный для данного компьютера или компьютера, например, больше 1, 6 или семнадцати.
Если для передачи голоса между основным компьютером и, несомненно, «адресом назначения» всегда используется надежный «порт назначения», отслеживайте все последующие «порты назначения».
- 4 минуты до пути.
Event Id 5157 Protocol 6
Id De Evento 5157 Protocolo 6
Ereignis Id 5157 Protokoll 6
Identifiant D Evenement 5157 Protocole 6
Handelse Id 5157 Protokoll 6
Identyfikator Zdarzenia 5157 Protokol 6
Id Evento 5157 Protocollo 6
Gebeurtenis Id 5157 Protocol 6
Id De Evento 5157 Protocolo 6
이벤트 Id 5157 프로토콜 6
г.