基本的にこの記事をそのままやるだけ。
1.監査ログの有効化
auditpol /set /subcategory:"フィルタリング プラットフォーム パケットのドロップ" /success:enable /failure:enable
auditpol /set /subcategory:"フィルタリング プラットフォームの接続" /success:enable /failure:enable
- カテゴリー名はロケールにそって設定しないといけない模様。
マジ糞
2. 問題を再現する
ファイアウォールによってブロックされている(と思われる)処理を実行する
3. ファイアウォールのログをファイルに出力
netsh wfp show state
カレントディレクトリーにwfpstate.xmlが作成される
4. イベントビューアーから、失敗イベントの特定
- イベントビューアーを起動する
- 左側のツリーから「Windowsログ」「セキュリティ」を選択
- 原因と思しきログを探す
- 「フィルターの実行時ID」をメモ
5. ルールの特定
- 3で作成したファイルを開き、4で特定した「フィルターの実行時ID」で検索をかける
- ファイアウォールが原因であれば
<item>要素下の<filterId>にマッチするはず - 同
<item>要素のdisplayData.nameから、原因のルールがわかる
6. ログをオフにする
auditpol /set /subcategory:"フィルタリング プラットフォーム パケットのドロップ" /success:disable /failure:disable
auditpol /set /subcategory:"フィルタリング プラットフォームの接続" /success:disable /failure:disable
Tips
-
auditpol /list /categoryauditpol /list /subcategory:"オブジェクト アクセス"で監査ポリシーのカテゴリーを調べられる -
auditpol /backup /file:c:\auditpol.csvで現状のポリシーを出力できる