Windows 8 PID4 不断写入“wfpdiag.etl”

Windows 8 PID4 不断写入“wfpdiag.etl”

我的 Windows 8 计算机上的 C: 驱动器以 1 秒为间隔不断点击,写入wfpdiag.etl。我想找出原因。

查看资源监视器和 Sysinternals 进程资源管理器,我发现 PID 4,“系统”正在执行磁盘访问。它每秒写入约 32K(1 次写入)。

以下是持续的磁盘访问:
图像

这是定期写作。
图像

“写入”数字每秒增加一次。性能监视器告诉我它正在写入一个名为 wpdiag.etl 的文件,据我了解,该文件与 Windows 防火墙有关。有什么方法可以禁用对此文件的写入?

答案1

你的日语怎么样:http://blog.livedoor.jp/nichepcgamer/archives/1042899759.html?
指向一个稍微有帮助的 KB 条目: https://support.microsoft.com/en-us/kb/3044882

请考虑以下情形:

  • 您的服务器上安装了自定义网络应用程序。
  • 该应用程序捕获了大量网络流量。
  • 服务器可能正在使用 DHCP 分配的 IP 地址。

在这种情况下,写入 C:\Windows\System32\wfp\wfpdiag.etl 日志时可能会生成大量磁盘 I/O。
此行为是设计使然。触发端口扫描预防筛选器时,通常意味着没有进程正在侦听端口。(出于安全原因,WFP 会阻止进程侦听。)在没有侦听器的端口上尝试连接时,WFP 会将数据包识别为来自端口扫描器,因此会默默地断开连接。
如果存在侦听器,而通信却因数据包格式错误或身份验证而被阻止,则丢弃事件将被列为“DROP”(非默默),并且 WFP 日志记录将指示不同的筛选器 ID 和名称。
此筛选器内置于 Windows 防火墙和高级安全 (WFAS) 中。它包含在 Windows Vista、Windows Server 2008 和更高版本的 Windows 中。

列出的解决方法让您猜测注册表项,您应该在其中添加CollectNetEvents值为0under 的 dword。

幸运的是,博客文章暗示了 netsh,你可以使用转储 wfpdiag.etl 的 .xml
netsh wfp show netevents并从提升的提示符中
禁用它,这也会创建上述注册表项
netsh wfp set options netevents=offHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\Options

注意:禁用 WFP 日志记录只会停止 wfpdiag.etl 中 WFP 活动的日志记录。端口扫描预防过滤器将继续正常工作。

答案2

您有 Sphinx 出品的名为 Windows7FirewallControl 的软件吗?软件网站:http://www.sphinx-soft.com/Vista/index.html

有人报告说它是造成这种写入模式的原因:http://www.vistax64.com/vista-security/68952-wfpdiag-etl-what.html卸载或禁用它会停止对该文件的持续写入活动。

相关内容