Windows 8 PID4 stale zapisuje do „wfpdiag.etl”

Dysk C: na moim komputerze z systemem Windows 8 klika w odstępach 1 sekundy, pisząc do wfpdiag.etl. Chciałbym dowiedzieć się dlaczego.

Patrząc na Monitor zasobów i Sysinternals Process Explorer, widzę, że to PID 4, „System”, robi dostęp do dysku. Pisze około 32 KB (1 zapis) co sekundę.

Oto stały dostęp do dysku:

A oto pismo okresowe.

Liczba „Zapisów” zwiększa się co sekundę. Monitor wydajności informuje mnie, że zapisuje do pliku o nazwie wpdiag.etl, który, jak rozumiem, jest powiązany z Zaporą systemu Windows. Czy jest jakiś sposób na wyłączenie zapisu do tego pliku?

Jak tam twój japoński: http://blog.livedoor.jp/nichepcgamer/archives/1042899759.html ?
Prowadzi do nieco pomocnego wpisu KB: https://support.microsoft.com/en-us/kb/3044882

Rozważ następujący scenariusz:

• Na serwerze zainstalowano niestandardową aplikację sieciową.
• Aplikacja przechwytuje duży ruch na przewodzie.
• Serwer może używać adresu IP przypisanego do DHCP.

W tym scenariuszu podczas generowania zapisów w dzienniku C: \ Windows \ System32 \ wfp \ wfpdiag.etl może zostać wygenerowany duży wolumin dysku we / wy.
To zachowanie jest zgodne z projektem. Po uruchomieniu filtru zapobiegania skanowaniu portów zwykle oznacza to, że proces nie nasłuchuje na porcie. (Ze względów bezpieczeństwa WFP blokuje proces nasłuchiwania.) Gdy próbowane jest połączenie na porcie, na którym nie ma nasłuchiwania, WFP rozpoznaje pakiet tak, jakby pochodził ze skanera portów i dlatego po cichu przerywa połączenie.
Gdyby istniał nasłuchiwanie, a komunikacja została zamiast tego zablokowana z powodu źle sformułowanych pakietów lub uwierzytelnienia, porzucone zdarzenie byłoby wymienione jako „DROP” (nie cicho), a rejestrowanie WFP wskazywałoby inny identyfikator filtru i nazwę.
Ten filtr jest wbudowany w Zaporę systemu Windows i zaawansowane zabezpieczenia (WFAS). Jest on zawarty w systemie Windows Vista, Windows Server 2008 i nowszych wersjach systemu Windows.

Wymienione obejście pozwala odgadnąć klucz rejestru, do którego należy dodać dword CollectNetEventso wartości 0poniżej.

Na szczęście blog zawiera wskazówki w netsh, możesz zrzucić plik .xml pliku wfpdiag.etl
netsh wfp show neteventsi
wyłączyć go za
netsh wfp set options netevents=offpomocą podwyższonego monitu, który również tworzy wyżej wymieniony klucz rejestru w obszarzeHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\Options

Uwaga Wyłączenie rejestrowania WFP powoduje tylko zatrzymanie rejestrowania aktywności WFP w pliku wfpdiag.etl. Filtr zapobiegania skanowaniu portów nadal działa normalnie.

Czy masz oprogramowanie o nazwie Windows7FirewallControl firmy Sphinx? Strona oprogramowania: http://www.sphinx-soft.com/Vista/index.html

Niektórzy zgłosili, że był odpowiedzialny za ten wzorzec zapisu: http://www.vistax64.com/vista-security/68952-wfpdiag-etl-what.html Odinstalowanie lub wyłączenie zatrzymało stałą aktywność zapisu do tego pliku.