Sollte das Security LOG mit der Event-ID 5156/5158 volllaufen, dann kann folgendes unternommen werden.
Mit Hilfe von Auditpol deaktivieren wir das Logging von Object Access.
auditpol /set /subcategory:”Filtering Platform Connection” /success:disable /failure:enable
auditpol /set /subcategory:”Filtering Platform Connection” /success:disable
Die Windows Firewall Verbindung wird durch die Aktivierung von “Filter Platform Policy Change” überwacht. Je nach Einstellung werden gescheiterte oder/auch erfolgreiche Verbindungen ins Ereignissprotokoll geschrieben. Durch die Aktivierung der Überwachung gehören diese Ereignisse nachher zu den TOP 10 der Vorkommnisse.