Windows Filtering Platform Event ID 5156 5158

Sollte das Security LOG mit der Event-ID 5156/5158 volllaufen, dann kann folgendes unternommen werden.

Mit Hilfe von Auditpol deaktivieren wir das Logging von Object Access.

auditpol /set /subcategory:”Filtering Platform Connection” /success:disable /failure:enable
auditpol /set /subcategory:”Filtering Platform Connection” /success:disable

Die Windows Firewall Verbindung wird durch die Aktivierung von “Filter Platform Policy Change” überwacht. Je nach Einstellung werden gescheiterte oder/auch erfolgreiche Verbindungen ins Ereignissprotokoll geschrieben. Durch die Aktivierung der Überwachung gehören diese Ereignisse nachher zu den TOP 10 der Vorkommnisse.

 

Windows-Filtering-Platform Event ID 5156