我最近开始在我的Forefront TMG日志中收到大量(每天60万到200万)FWX_E_TCP_NOT_SYN_PACKET_DROPPED,0xc0040017条目。
如果前3个源IP是任何指示,则启动这些扫描的IP不存在合法通信。 我怎样才能抑制这些由Forefrontlogging?
不幸的是使用标准的抑制规则不起作用。 我已经为某些stream量(包括多播范围)制定了一个抑制列表。 这是我的规则集的顶部。 列出的规则是“无 – 见结果代码”,即使是被阻止的stream量。
看起来Fwengmon工具已被replace,而netsh tmg命令不能提供一个现成的方法来抑制这些警报。 我已经把食物链提升了 – 我们收集Splunk中的这些日志,并将Syslog-NG用作filter。 我通过阻止0xc0040017代码在syslog-ng级别上抑制了这些虚假事件。
创build一个访问规则:
拒绝/所有stream量/从 – >新计算机设置“阻止不logging” – >将IP(“计算机”)添加到此列表/到任何位置/所有用户/完成。
在列表中首先sorting,然后禁用“logging请求匹配此规则”设置 – 在常规选项卡上,从内存中。