В журнале событий было много записей:
The Windows Filtering Platform has permitted a connection.
Application Information:
Process ID: 4
Application Name: System
Network Information:
Direction: Inbound
Source Address: 10.xxx.xxx.xxx
Source Port: 80
Destination Address: 10.xxx.xxx.xxx
Destination Port: 31773
Protocol: 6
Filter Information:
Filter Run-Time ID: 67903
Layer Name: Receive/Accept
Layer Run-Time ID: 44
У нас есть балансировщик нагрузки, который каждую секунду проверяет, работает ли приложение (проверка работоспособности). Журналы содержат большое количество таких записей, что замедляет работу средства просмотра событий и затрудняет поиск более интересных журналов.
Как убедиться, что эти сообщения не попадают в журналы событий?
Да, можно избавиться от многих способов ..
Источник: http://www.morgantechspace.com/2013/09/event-id-5156-filtering-platform.html
Решение 1. Если вы хотите избавиться от этого события 5156 подключения к платформе фильтрации, вам необходимо выполнить следующие команды в командной строке с повышенными привилегиями (Запуск от имени администратора):
Auditpol /set /subcategory:"Filtering Platform Connection" /Success:disable
Затем обновите gpo с помощью этой команды
gpupdate /force
Решение 2:
Вы также можете отключить подключение к платформе фильтрации в конфигурации расширенной политики аудита локальной политики безопасности.
1. Press the key Windows + R
2. Type command secpol.msc, click OK
3. Then go to the node Advanced Audit Policy Configuration->Object Access.
4. Check the audit setting **Audit Filtering Platform Connection** If it is configured as Success, you can revert it Not Configured and Apply the setting.
Вы можете отключить этот тип журналов с помощью следующего оператора командной строки:
auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:enable