【Win7】 wfpdiag.etlへのログ記録を停止する方法

Windows,レジストリ

C:\Windows\System32\wfpにwfpdiag.etlというファイルがあります。具体的にこれはなんぞ、と申しますと、知らん。中身を覗いたら使用ブラウザ名が記載されていましたので、通信があったアプリのLogだと思われます。MSの説明によると

Windows でのポートのスキャン防止フィルターの動作
このシナリオでは、C:\Windows\System32\wfp\wfpdiag.etl ログに書き込みを行うときに大量のディスク I/O を生成する可能性があります。
(ソース:https://support.microsoft.com/ja-jp/kb/3044882)

と書かれていました。サーバ運用等でLog取りがオンの状態だと負荷が掛かる感じなんですかね、わからん。そもそも通信があったアプリのLogなんていらないし(管理人は別のソフトで記録しているので)、ってことでオフにしてみることに。同ページにレジストリからオフに変更の仕方も書いてありました。

肝心の「次のレジストリサブキー」が書かれていませんでした。

MSーッ!!ど、どこに「CollectNetEvents」を追加したらええんや…

もちろん自分のレジストリを「CollectNetEvents」で検索しても見つからず(追加しろって書いてあるんだから当然)。とりあえず「CollectNetEvents」に絞って検索してみるもHitしたのはわずか4件…。内3件は上記MSサイトの言語違いページ。関連ワードで日本と英語圏を検索してみるもまったく情報無し。3時間くらい検索し続けて辿り着いた中華圏にやっとこさ情報が。


(ソース:C:\Windows\System32\有两个造成大量写入的日志文件,求禁用方法)

「wfpdiag.etlへの書き込みを抑止したい!」
「コマンドプロンプトでこれを実行な ⇒ netsh wfp set options netevents = off」

大体こんな会話だと思う。やってみました。wfpdiag.etlへの書き込みが無くなりました。おわり。

wfpdiag.etlへのLog取り無効化 (コマンドプロンプトで実行)
netsh wfp set options netevents = off

wfpdiag.etlへのLog取り有効化 (コマンドプロンプトで実行)
netsh wfp set options netevents = on

無効化後にレジストリを調べてみると

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BFE\Parameters\Policy\Options
CollectNetEvents 0

上記項目に「CollectNetEvents」が追加されていました。MSの説明を補完すると、この部分に「CollectNetEvents」を追加すると無効化出来ると思います。MSさん頼んまっせ…

余談ですが「netsh wfp set options netevents = off」で検索してみるとHITするのは中国語とロシア語ばかり。あっちの方ではメジャーな設定変更なんですかね…

最後に、この記事はwfpdiag.etlのLog取り無効化をオススメするものではありません。これを無効化したことでどんな影響が出るかは不明です。じゃあなんでやってみた。そこにLogがあるから止めてみた。

12/28追記
ログ取りを停止してから約2ヵ月後、衝撃的でも何でも無い結果を書きました。
【Win7】 イベントトレースとwfpdiag.etlのログを停止して運用するとどうなるの