Windows 8 PID4 постоянно пишет в "wfpdiag.etl"

Question

Диск C: на моем компьютере с Windows 8 щелкает с интервалом в 1 секунду, записывая в wfpdiag.etl . Я хотел бы узнать, почему.

Глядя на Resource Monitor и Sysinternals Process Explorer, я вижу, что PID 4, "Система", осуществляет доступ к диску. Он пишет около 32K (1 запись) каждую секунду.

Вот постоянный доступ к диску:

А вот и периодическая запись.

Число "Пишет" увеличивается один раз в секунду. Системный монитор сообщает, что записывает в файл с именем wpdiag.etl, который, как я понимаю, связан с брандмауэром Windows. Можно ли как-то отключить запись в этот файл?

Answer 1

Как твой японский: http://blog.livedoor.jp/nichepcgamer/archives/1042899759.html?
Приводит к немного полезной записи в КБ: https://support.microsoft.com/en-us/kb/3044882

Рассмотрим следующий сценарий:

• На вашем сервере установлено пользовательское сетевое приложение.
• Приложение захватывает много трафика по проводам.
• Сервер может использовать назначенный DHCP IP-адрес.

В этом случае большой объем дискового ввода-вывода может быть создан при записи в журнал C:\Windows\System32\wfp\wfpdiag.etl.
Такое поведение является особенностью. Когда срабатывает фильтр предотвращения сканирования портов, это обычно означает, что процесс не прослушивает порт. (Из соображений безопасности WFP блокирует прослушивание процесса.) При попытке установить соединение с портом, в котором нет прослушивателя, WFP распознает пакет, как будто он поступает от сканера портов, и, следовательно, молча обрывает соединение.
Если бы был прослушиватель, а связь была заблокирована из-за неверно сформированных пакетов или аутентификации, событие отбрасывания было бы указано как «DROP» (не молчание), а в журнале WFP указывались бы другой идентификатор и имя фильтра.
Этот фильтр встроен в брандмауэр Windows и расширенную безопасность (WFAS). Он включен в Windows Vista, Windows Server 2008 и более поздние версии Windows.

Перечисленный обходной путь позволяет угадать ключ реестра, куда вы должны добавить dword CollectNetEvents со значением 0 ниже.

К счастью, пост намекает на netsh, вы можете сбросить .xml файла wfpdiag.etl с помощью
netsh wfp show netevents и
отключить его
netsh wfp set options netevents=off из приглашения с повышенными правами , которое также создает вышеупомянутый раздел реестра в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\Options

Примечание. Если вы отключите ведение журнала WFP, это только остановит запись активности WFP в wfpdiag.etl. Фильтр предотвращения сканирования портов продолжает работать в обычном режиме.

Answer 2

Есть ли у вас программное обеспечение под названием Windows7FirewallControl от Sphinx? Сайт программного обеспечения: http://www.sphinx-soft.com/Vista/index.html

Некоторые сообщают, что он был ответственен за этот шаблон записи: http://www.vistax64.com/vista-security/68952-wfpdiag-etl-what.html Удаление или отключение этого файла остановили постоянную запись в этот файл.