Поведение фильтра предотвращения сканирования порта в Windows
В этой статье описаны функции фильтра предотвращения сканирования порта в Windows Server 2008 и более поздних версиях Windows. Он также включает обходное решение для поведения по проекту, которое создает много дискового I/O при действии в журнале wfpdiag.etl.
Применяется к: Windows Server 2012 R2 Исходный номер КБ: 3044882
Симптомы
Рассмотрим следующий сценарий.
В этом сценарии при записи в журнал C: \ Windows \ System32 \ wfp wfpdiag.etl может быть создан большой объем диска \ I/O.
Причина
Такое поведение является особенностью данного продукта. При запуске фильтра предотвращения сканирования порта это обычно означает, что в порту не прослушивается процесс. (По соображениям безопасности МПП блокирует прослушивание процесса.) При проверке подключения в порту, где нет слушателя, МПП распознает пакет, как если бы он был исходя из сканера порта и, следовательно, молча отбрасывания подключения.
Если бы был прослушиватель, а сообщение было заблокировано из-за неправильного развития пакетов или проверки подлинности, отброшенное событие будет перечислены как «DROP» (не безмолвный), а ведение журнала МПП будет указывать другой идентификации фильтра и имя.
Этот фильтр встроен в брандмауэр Windows и advanced Security (WFAS). Он включен в Windows Vista, Windows Server 2008 и более поздних версиях Windows.
Обходной путь
Чтобы решить эту проблему, отключим журнал WFP с помощью одного из следующих методов:
Отключение ведения журнала WFP, запуская следующую команду Netsh из командной подсказки повышенного уровня:
Отключить ведение журнала ВПП в реестре. Для этого выполните следующие действия:
Windows Server 2008 R2. Система примерно 5-10 раз в секунду пишет в файл C:\Windows\System32\wfp\wfpdiag.etl, чем заметно тормозит дисковый I/O.
Можно ли как-то это отключить?
Все ответы
Это отладочный файл контроля сетевого трафика, в нормальной ситуации не должен очень много обращаться к диску.
Не используются ли сторонние программные межсетевые экраны? Нет ли ненормальной активности в сети?
Стоит MS Forefront TMG 2010. Ненормальная активность есть. Постоянно прёт всякий левый DNS траффик с разных хостов. Соответственно он заблокирован Deny правилом в Forefront (логирование траффика отключено в Forefront).
Есть ли возможность блокировать эти хосты до TMG? Либо внести их в черный список на TMG?
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий Follow us on Twitter
Посмотрите вывод команд
netsh wfp capture status
netsh wfp show options netevents
netsh wfp show options keywords
Изменяется ли поведение после команды
netsh wfp set options netevents=off
В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий Follow us on Twitter
Тема переведена в разряд обсуждений по причине отсутствия активности
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий Follow us on Twitter
Последнее обновление: 06/30/2021[Время на прочтение статьи: 5 мин.]
Разработка Office 2010 компанией Microsoft послужила толчком для создания последней версии файла wfpdiag.etl. Он также известен как файл Microsoft Event Trace Log (расширение ETL), который классифицируется как файл Журнал (Microsoft Event Trace Log).
Первый выпуск файла wfpdiag.etl на платформе Windows Vista состоялся 11/08/2006 для Windows Vista. 06/15/2010 вышла версия 2010 для Office 2010. Файл wfpdiag.etl включен в пакет ПО в Windows 10, Windows 8.1 и Windows 8.
Продолжайте читать, чтобы найти загрузку правильной версии файла wfpdiag.etl (бесплатно), подробные сведения о файле и порядок устранения неполадок, возникших с файлом ETL.
Рекомендуемая загрузка: исправить ошибки реестра в WinThruster, связанные с wfpdiag.etl и (или) Office.
Совместимость с Windows 10, 8, 7, Vista, XP и 2000
Средняя оценка пользователей
Обзор файла
Общие сведения ✻
Имя файла:
wfpdiag.etl
Расширение файла:
расширение ETL
Тип файла:
Журнал
Описание:
Microsoft Event Trace Log
Пользовательский рейтинг популярности:
Сведения о разработчике и ПО
Программа:
Office 2010
Разработчик:
Microsoft
Программное обеспечение:
Office
Версия ПО:
2010
Сведения о файле
Размер файла (байты):
32768
Дата первоначального файла:
04/24/2017
Дата последнего файла:
05/10/2017
Информация о файле
Описание
Размер файла:
32 kB
Дата и время изменения файла:
2017:05:10 21:47:56+00:00
Дата и время изменения индексного дескриптора файлов:
2018:05:23 20:26:29+00:00
Ошибка:
Unknown file type
✻ Фрагменты данных файлов предоставлены участником Exiftool (Phil Harvey) и распространяются под лицензией Perl Artistic.
Что такое сообщения об ошибках wfpdiag.etl?
Общие ошибки выполнения wfpdiag.etl
Ошибки файла wfpdiag.etl часто возникают на этапе запуска Office, но также могут возникать во время работы программы. Эти типы ошибок ETL также известны как «ошибки выполнения», поскольку они возникают во время выполнения Office. К числу наиболее распространенных ошибок выполнения wfpdiag.etl относятся:
Программа: C:\Windows\System32\wfp\wfpdiag.etl
Среда выполнения получила запрос от этого приложения, чтобы прекратить его необычным способом. Для получения дополнительной информации обратитесь в службу поддержки приложения.
В большинстве случаев причинами ошибок в ETL являются отсутствующие или поврежденные файлы. Файл wfpdiag.etl может отсутствовать из-за случайного удаления, быть удаленным другой программой как общий файл (общий с Office) или быть удаленным в результате заражения вредоносным программным обеспечением. Кроме того, повреждение файла wfpdiag.etl может быть вызвано отключением питания при загрузке Office, сбоем системы при загрузке или сохранении wfpdiag.etl, наличием плохих секторов на запоминающем устройстве (обычно это основной жесткий диск) или заражением вредоносным программным обеспечением. Таким образом, крайне важно, чтобы антивирус постоянно поддерживался в актуальном состоянии и регулярно проводил сканирование системы.
Как исправить ошибки wfpdiag.etl — 3-шаговое руководство (время выполнения:
Если вы столкнулись с одним из вышеуказанных сообщений об ошибке, выполните следующие действия по устранению неполадок, чтобы решить проблему wfpdiag.etl. Эти шаги по устранению неполадок перечислены в рекомендуемом порядке выполнения.
Шаг 1. Восстановите компьютер до последней точки восстановления, «моментального снимка» или образа резервной копии, которые предшествуют появлению ошибки.
Чтобы начать восстановление системы (Windows XP, Vista, 7, 8 и 10):
Если на этапе 1 не удается устранить ошибку wfpdiag.etl, перейдите к шагу 2 ниже.
Шаг 2. Если вы недавно установили приложение Office (или схожее программное обеспечение), удалите его, затем попробуйте переустановить Office.
Чтобы удалить программное обеспечение Office, выполните следующие инструкции (Windows XP, Vista, 7, 8 и 10):
После полного удаления приложения следует перезагрузить ПК и заново установить Office.
Если на этапе 2 также не удается устранить ошибку wfpdiag.etl, перейдите к шагу 3 ниже.
Шаг 3. Выполните обновление Windows.
Когда первые два шага не устранили проблему, целесообразно запустить Центр обновления Windows. Во многих случаях возникновение сообщений об ошибках wfpdiag.etl может быть вызвано устаревшей операционной системой Windows. Чтобы запустить Центр обновления Windows, выполните следующие простые шаги:
Если Центр обновления Windows не смог устранить сообщение об ошибке wfpdiag.etl, перейдите к следующему шагу. Обратите внимание, что этот последний шаг рекомендуется только для продвинутых пользователей ПК.
Если эти шаги не принесут результата: скачайте и замените файл wfpdiag.etl (внимание: для опытных пользователей)
Если этот последний шаг оказался безрезультативным и ошибка по-прежнему не устранена, единственно возможным вариантом остается выполнение чистой установки Windows 7.
This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.
Asked by:
Question
I’ve seen this problem on many forums, but unfortunately none of them provide an answer.
The issue is that wfpdiag.etl is constantly writing to hard disk with 32kb/s, the curious thing is that the file size never exceeds 128KB.
From what I read this file is related to Windows firewall and network, do you know if there is any way to stop this file from writing to hard disk?
All replies
Well on my system wfpdiag.etl has about a minute after boot as that last update, and is about 98k. Two of those one under All User and one ProgramData both in a wfp folder.
So can you check if it is third party software that maybe having some affect on this. Do a clean boot see if it does it then, and it does not when on a clean boot, follow the ‘How to determine what is causing the problem by performing a clean boot’ section.
Thank you for your response, apparently Bitdefender Internet Security (which manages Windows Firewall) is causing the above describes issue. From what I’ve read on forums wfpdiag.etl is a trace for diagnostic (probably located somewhere in Event Viewer).
Windows Server 2008 R2. Система примерно 5-10 раз в секунду пишет в файл C:\Windows\System32\wfp\wfpdiag.etl, чем заметно тормозит дисковый I/O.
Можно ли как-то это отключить?
Все ответы
Это отладочный файл контроля сетевого трафика, в нормальной ситуации не должен очень много обращаться к диску.
Не используются ли сторонние программные межсетевые экраны? Нет ли ненормальной активности в сети?
Стоит MS Forefront TMG 2010. Ненормальная активность есть. Постоянно прёт всякий левый DNS траффик с разных хостов. Соответственно он заблокирован Deny правилом в Forefront (логирование траффика отключено в Forefront).
Есть ли возможность блокировать эти хосты до TMG? Либо внести их в черный список на TMG?
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий Follow us on Twitter
Посмотрите вывод команд
netsh wfp capture status
netsh wfp show options netevents
netsh wfp show options keywords
Изменяется ли поведение после команды
netsh wfp set options netevents=off
В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий Follow us on Twitter
Тема переведена в разряд обсуждений по причине отсутствия активности
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий Follow us on Twitter
