Windows 8 PID4 постоянно пишет в " wfpdiag.технология ETL"

как твой японский: http://blog.livedoor.jp/nichepcgamer/archives/1042899759.html?

Приводит к немного полезной записи КБ: https://support.microsoft.com/en-us/kb/3044882

рассмотрим следующий сценарий:

• у вас есть пользовательское сетевое приложение, установленное на вашем сервере.
• приложение захватывает много трафика на проводе.
• сервер может использовать IP-адрес, назначенный DHCP.

в этом случае большой объем дискового ввода-вывода может быть создан при записи в C:\Windows\System32\wfp\wfpdiag.etl log.

Такое поведение является особенностью. Когда фильтр предотвращения сканирования портов инициирован, это обычно означает, что нет никакого процесса, слушающего порт. (По соображениям безопасности ВПП блокирует прослушивание процессов.) Когда соединение опробовано на порту, где нет прослушивателя, WFP распознает пакет, как если бы он шел от сканера портов, и поэтому тихо отбрасывает соединение.

Если бы не было слушателя, и связь была заблокирована из-за либо искаженные пакеты или проверки подлинности, за событие будет отображаться как "падение" (не молчит), а МПП регистрации указать другой фильтр ID и имя.

Этот фильтр встроен в Брандмауэр Windows и расширенную безопасность (WFAS). Он входит в состав Windows Vista, Windows Server 2008 и более поздние версии Windows.

обходной путь в списке позволяет угадать раздел реестра, где вы должны добавить dword CollectNetEvents стоимостью 0 в рамках.

к счастью, blogpost намекает на netsh, вы можете сбросить .xml из wfpdiag.этл с

netsh wfp show netevents и

отключите его с помощью

netsh wfp set options netevents=off из запроса с повышенными привилегиями, который также создает вышеупомянутый раздел реестра под HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\Options

отключение журналирования ВПП, это только останавливает ведение журнала операций ВПП в wfpdiag.технология ETL. Фильтр предотвращения сканирования портов продолжает работать в обычном режиме.