客户问题概括:
客户称在域控上发现大量ID为5152的安全日志,几乎每秒3个,希望给予相关检查。
日志如下:
Windows平台已阻止数据包过滤。
应用信息:
进程ID: 0
应用程序名称:
方向:入站
源地址:0.0.0.0
源端口:68
目的地址:255.255.255.255
目的地端口:67
协议:17
信息过滤:
过滤器运行ID: 437032
图层名称:传输
层运行ID: 13
解决方法:
分析日志得知,此日志为Windows防火墙审计日志,根据源和目的端口及世界粮食计划署二层过滤,判断可能为DHCP广播相关数据,并且客户启用了世界粮食计划署过滤日志。关闭此日志记录即可。
举例:
使用以下命令关闭此日志即可:
auditpol/设置/类别:“煤气报修/子类别:“过滤平台Connection"/失败:禁用
auditpol/设置/类别:“煤气报修/子类别:“过滤平台包Drop"/失败:禁用
然后gpupdate/力刷新组策略