Решено: информация о том, как восстановить событие с идентификатором 5157, знак 6

December 4, 2021 By Gary Lamb Off

Table of Contents

Вот несколько простых подходов, которые могут помочь устранить неполадки события с кодом 5157 в журнале 6.

Рекомендуется: Fortect

1. Скачайте и установите Fortect

2. Откройте программу и нажмите "Сканировать"

3. Нажмите "Восстановить", чтобы начать процесс восстановления.

Загрузите это программное обеспечение и почините свой компьютер за считанные минуты. г.

Тип. Баг-аудит. Windows Wood регистрирует событие 5157, когда WFP устанавливает соединение между программой и процессом. Этот другой процесс, безусловно, теперь может находиться на одной и той же компьютерной рабочей станции в дополнение к тихому компьютеру.

Это особое событие происходит, когда платформа фильтрации Windows закрывает соединение.

<цитата>

Примечание. Рекомендации для этого события можно найти в разделе Безопасность в разделе “Рекомендации по мониторингу” .

  - <событие xmlns означает «http://schemas.microsoft.com/win/2004/08/events/event»>- <система>   5157   1   2    12810   ноль   0x80100000000000000    304390  <Корреляция />    Безопасность   DC01.contoso.local  <Безопасность /> - <Данные о событии>  4556  <Имя данных равно "Приложение">  устройство  harddiskvolume2  юридические документы  listener.exe  <Название данных подразумевает "Направление"> %% 14592  Имя равно "SourceAddress"> 10   3333  <Данные Name = "DestAddress"> 10.0.0.100   49218   6   110398   %% 14610   44   S-1-0-0   S-1-0-0

Идентификатор процесса [type = pointer]: hex Десятичный идентификатор процесса, который пытался установить соединение. Идентификатор процесса (PID) – это число, используемое этими операционными системами для уникального распознавания каждого активного процесса. Чтобы отобразить большую часть PID определенного процесса, вы действительно можете, например, использовать Task (вкладка Supervisor Details, столбец PID):
Если преобразовать тип из шестнадцатеричного в десятичный, можно сравнить все со значениями в диспетчере задач.
Теперь вы можете сопоставить этот тип идентификатора процесса с идентификатором процесса в других событиях, например, « 4688 : Создан новый процесс» Информация о процессе Новый идентификатор процесса.
Имя приложения [тип UnicodeString]: подразумевает полный путь, и я должен сообщить имя исполняемого файла, применяемого для каждого процесса.
Логический – это жесткий диск, который находится в папке жесткого диска gps harddiskvolume #. Вы можете захватить объем всех комнат, используя блок питания Diskpart. Команда доступа к номерам томов с помощью Diskpart – «Список томов»:

Направление [Тип – UnicodeString]: направление фактического подключенного соединения.
- Inbound – для входящих подключений.
- Рекомендуется: Fortect
  Вы устали от медленной работы компьютера? Он пронизан вирусами и вредоносными программами? Не бойся, друг мой, Fortect здесь, чтобы спасти положение! Этот мощный инструмент предназначен для диагностики и устранения всевозможных проблем с Windows, а также для повышения производительности, оптимизации памяти и поддержания вашего ПК в рабочем состоянии. Так что не ждите больше - скачайте Fortect сегодня!
- 1. Скачайте и установите Fortect
- 2. Откройте программу и нажмите "Сканировать"
- 3. Нажмите "Восстановить", чтобы начать процесс восстановления.

Исходящий – для несвязанных подключений.

Исходный адрес [Type = UnicodeString]: локальный IP-адрес, через который приложение iPhone обычно получало веб-соединение.

Структура фильтрации аудита отбрасывания пакетов определяет, генерирует ли статья события аудита, когда пакеты, вероятно, обычно отбрасываются платформой фильтрации Windows. Большое количество уменьшенных пакетов может указывать на то, что была произведена проверка для установления неавторизованных сетей для компьютеров в вашей сети.
IPv4-адрес
IPv6-адрес
:: All – IP-адреса IPv6
0.0.0.0 – единственное, что IP-адреса в формате
более сотни ipv4.0.0.1, – :: 1 район

Порт источника [Type = UnicodeString]: номер порта, прямо из которого приложение получило аксессуар.

Адрес назначения [Тип равен UnicodeString]: IP-адрес, который может быть вызван полученным соединением.

IPv4-адрес
IPv6-адрес
:: All – IPv6 IP Chat
0.0.0.0 – множество IP-адресов в формате файла
127 ipv4.0.0.1, :: несколько – локальные

Порт назначения [Type = UnicodeString]: порт, который мог использоваться удаленным компьютером для установления соединения.

Протокол [предполагается, что тип UInt32]: номер используемого стандартного протокола.

Сервис	Протокол сотового номера
Протокол управляющих сообщений Интернета (ICMP)	шаг 1
Протокол управления передачей (TCP)	6
Протокол дейтаграмм пользователя (UDP)	17
Общая инкапсуляция маршрутизации (данные PPTP через GRE)	47
Заголовок аутентификации IPSec (AH)	51
Полезные данные безопасности инкапсуляции IPSec	50
Протокол внешнего шлюза (в частности) (EGP)	8
Протокол шлюза (GGP)	или выше
Протокол мониторинга хоста (HMP)	20
Протокол управления группами Интернета (IGMP)	88
С удаленным виртуальным диском (RVD)	66
OSPF сначала открывает кратчайший путь	пятое место 89
Универсальный пакетный протокол PARC (PUP)	12
Протокол надежных датаграмм (RDP)	27
Протокол резервирования QoS (RSVP)	46

Идентификатор среды выполнения фильтра [Type = UInt64]: уникальный идентификатор фильтра, заблокировавшего соединение.

Чтобы найти конкретный идентификатор фильтра, которому доверяет в основном платформа фильтрации Windows, выполните следующую команду: netsh wfp show sieve. В результате этого командного термина создается изображение filter.xml. Откройте это содержимое и найдите новую конкретную подстроку с новым идентификатором фильтра (), например:

Имя слоя [Type = UnicodeString]: Application Application Телефон верхнего слоя. Время выполнения
Мониторинг Windows Home Мониторинг обычно является свойством Windows, которое помогает защитить безопасность в компьютерных и административных партнерских сетях cpa. Мониторинг Windows используется для отслеживания активности пользователей, криминалистического анализа и анализа инцидентов, а также устранения неполадок.
ID уровня [тип, безусловно, UInt64]: ID каждого корпуса нашей платформы фильтрации Windows. Чтобы найти конкретный идентификатор уровня платформы фильтрации Windows, выполните следующую команду: netsh wfp Teach state. Пользовательский файл wfpstate.xml для создается как новый прямой результат этой команды. Откройте эту папку и найдите квалифицированную подстроку, используя требуемый идентификатор слоя (), из примера:

Рекомендации по безопасности

Если у вас есть какое-либо большое готовое приложение, которое необходимо приобрести для выполнения работы, о которой в первую очередь сигнализирует событие here, обратите внимание на инспекции приложений, которые не являются обычными использовать.
Вы можете отслеживать, находится ли «Приложение» в каждой папке по умолчанию (например, в файлах Интернета). Вы
Если у владельцев действительно есть предопределенный список, связанный с ограниченными подстроками, возможно, слова в именах форм приложения (например, «mimikatz», а также «cain.exe»), проверьте его с помощью подстрок внутри … «Приложение»
Убедитесь, что вы видите, «исходный адрес» – это один из, я бы сказал, адресов, назначенных компьютеру.
Если компонент компьютера никогда не может получить доступ к Интернету или создан только для тех случаев, когда не удается подключиться к Интернету, следите за праздниками 5157 , где “Целевой адрес “всегда является IP-адресом в Интернете (не из диапазонов частных IP-адресов).
Если вы знаете, что офисный компьютер человека ни при каких обстоятельствах не должен быть связан с определенными IP-адресами в сети, посмотрите, как эти адреса указаны в поле “Адрес назначения”.
Если вы ведете список IP-адресов, которые, по мнению экспертов, необходимы большинству компьютеров или устройств для связи или просто связи, отслеживайте все IP-адреса, используя свой «адрес назначения», который не из список первичной авторизации.
Если вам нужно полностью сохранить входящие соединения через специальный традиционный порт, монитор 5157 объединится с этим «исходным портом».
Следите за всем и подключениями, применяя «номер протокола», не типичный для данного компьютера или компьютера, например, больше 1, 6 или семнадцати.
Если для передачи голоса между основным компьютером и, несомненно, «адресом назначения» всегда используется надежный «порт назначения», отслеживайте все последующие «порты назначения».