Löst: Det Bästa Sättet Att återställa Händelse-ID 5157 Log 6
December 5, 2021Här är några vanliga tekniker som kan hjälpa dig att diagnostisera Event ID 5157 i Logg 6.
Rekommenderas: Fortect
Sorts. Buggrevision. Windows Wood loggar händelse 5157 när WFP tar bort kopplingen mellan schemat och processen. Detta olika företag kan nu finnas på en identisk dator förutom den utvalda datorn.
Den här händelsen inträffar när Windows Filtering Platform stänger nätlänkanslutningen.
Obs. Rekommendationer för denna händelse finns under Säkerhet under Övervakningsrekommendationer .
- - 5157 1 9 12810 0 0x80100000000000000 304390 Säkerhet DC01.contoso.local - 4556 enhet hårddiskvolym2 domstolsdokument listener.exe %% 14592 Namn = "SourceAddress"> 10 3333 10.0.0.100 49218 6 110398 %% 14610 42 S-1-0-0 S-1-0-0
Process-ID [typ = pekare]: hex Den addecimala identifieraren för processen som försökte upprätta anslutningen. Process ID (PID) är ett nummer som används av dessa operativsystem för att distinkt identifiera varje aktiv process. För att datorskärma PID för ett specifikt framsteg kan du till exempel använda Task (Supervisor Details-fliken, PID-kolumnen):
Om du konverterar typen på grund av hex till decimal kan du analysera den med värdena i Aktivitetshanteraren.
Du kan nu placera detta process-ID till funktions-ID i andra händelser, för nivå “ 4688 : Ny process skapad” Processinformation Nytt process-ID.
Programnamn [UnicodeString-typ]: är lika med fullständig sökväg och jag säger utan tvekan namnet på exe-filen för varje process.
Logisk är hårddisken som låter i mappen hårddisk approach hårddiskvolym #. Du kan få volymen på alla kontor med hjälp av Diskparts strömförsörjning. Kommando för att komma åt volymnummer med Diskpart – “Volymlista”:
Riktning [Typen är UnicodeString]: Riktningen som hänför sig till den anslutna anslutningen.
Inkommande – för inkommande anslutningar.
Rekommenderas: Fortect
Är du trött på att din dator går långsamt? Är det full av virus och skadlig kod? Var inte rädd, min vän, för Fortect är här för att rädda dagen! Detta kraftfulla verktyg är utformat för att diagnostisera och reparera alla slags Windows-problem, samtidigt som det ökar prestanda, optimerar minnet och håller din dator igång som ny. Så vänta inte längre - ladda ner Fortect idag!
- 1. Ladda ner och installera Fortect
- 2. Öppna programmet och klicka på "Skanna"
- 3. Klicka på "Reparera" för att starta reparationsprocessen
Utgående – för orelaterade kontakter.
Källadress [Typ betyder UnicodeString]: den lokala IP-adress via vilken iPhone-appen tog emot den nya anslutningen.
Packet Drop Audit Filtering Framework avgör om ett stort uttalande genererar granskningshändelser när paket vanligtvis släpps av vissa av Windows Filtering Framework. Ett stort antal om reducerade paket kan tyda på att ett stort försök gjordes att upprätta oönskade anslutningar till datorer på ditt pålitliga nätverk.
IPv4-adress
IPv6-adress
:: Alla – IPv6 IP-adresser
0.0.0.0 – från alla IP-adresser i inställningen
127 ipv4.0.0.1, – :: 6 lokala
Källport [Typ = UnicodeString]: Portvalet från vilket programmet tog emot den anslutningen.
Destinationsadress [Typ = UnicodeString]: IP-adressen som ibland initieras av den mottagna anslutningen.
IPv4-adress
IPv6-adress
:: Alla – IPv6 IP-chatt
0.0.0.0 3 ) alla IP-adresser på hårddisken
127 ipv4.0.0.1, :: bara – lokal
Destinationsport [Typ = UnicodeString]: Porten som tyvärr användes av fjärrdatorn för att initiera anslutningen.
Protokoll [typ antar UInt32]: nummer i standardprotokollet som används.
Filter Runtime ID [Typ likställer med UInt64]: Unikt ID för den narrow down som blockerade anslutningen.
För att hitta ett specifikt filter-ID som används av Windows Filtering Platform, använd följande kommando: netsh wfp demonstrate to filter. Som ett resultat av detta faktakommando skapas bilden filter.xml. Öppna detta innehåll och se en specifik delsträng med denna speciella resulterande filteridentifierare (
), till exempel: Layer name [Type equates to UnicodeString]: Application Application Namnet på täckskiktet. Körtid
Övervakning Windows Home Monitoring är en Windows-egenskap som gör det möjligt att upprätthålla säkerheten i dator- och publika nätverk. Windows Monitoring används för att spåra användaraktivitet, kriminaltekniska och olycksundersökningar och felsökning.
Lager-ID [typ är UInt64]: ID:t för hela Windows Filtering Platform-korpus. För att tänka på ett specifikt Windows Filtering Platform Level ID, kör följande kommando: netsh wfp show state. Personens wfpstate.xml-fil skapas som ett nytt, nytt resultat av detta kommando. Öppna specifik fil och hitta den utbildade delsträngen med den obligatoriska lageridentifikationen (
), till exempel:
Bästa tillvägagångssätt för säkerhet
Om du kanske har en stor färdig applikation som måste köpas för att utföra den typ av operation som primärt signaleras av den här händelsen, se upp för appkontroller, vilket inte är en snygg applikation.
Du kan fortsätta att hålla reda på om “Applikation” finns i standardmappen (till exempel medan Internetfiler). Du
Om du har en fördefinierad checklista med begränsade podsstrings, kanske ord genom att använda applikationsnamn (till exempel “mimikatz” eventuellt “cain.exe”), kontrollera den med understrängar i … “Application” < /p>
Var absolut säker på att “källadressen” är en av de flesta adresser som tilldelas den personliga.
Om en datordel inte kan komma åt Internet, eller egentligen bara innehåller situationer som inte slår på Internet, se upp för situationer 5157 , där “Måladress” är IP-adressen på det specifika Internet (inte från privata IP-intervall).
Om du vet att din kontorsdator aldrig, under några omständigheter, bör associeras med utvalda IP-adresser på nätverket, leta efter dessa adresser i fältet Destinationsadress.
Om någon har en lista över IP-adressers kontaktinformation som de flesta datorer eller enheter bör kommunicera med eller helt enkelt prata med, spåra alla IP-adresser med hjälp av en “destinationsadress” det är inte du på den primära auktoriseringslistan.
Om du behöver fortsätta att behålla alla inkommande anslutningar på en specialiserad lokal port, övervaka 5157 möten med denna “källport”.
Håll reda på allt och mänskliga interaktioner med ett “protokollnummer” som inte är universellt för den här datorn eller datorn, till exempel större än 1, 6 och/eller 17.
Om en anpassad “destinationsport” alltid används för att kommunicera mellan den primära datorn så att “destinationsadressen”, övervaka alla de flesta andra “destinationsportar”.
- 4 minuter i läsning.
Event Id 5157 Protocol 6
Identifikator Sobytiya 5157 Protokol 6
Id De Evento 5157 Protocolo 6
Ereignis Id 5157 Protokoll 6
Identifiant D Evenement 5157 Protocole 6
Identyfikator Zdarzenia 5157 Protokol 6
Id Evento 5157 Protocollo 6
Gebeurtenis Id 5157 Protocol 6
Id De Evento 5157 Protocolo 6
이벤트 Id 5157 프로토콜 6