:strip_icc():strip_exif()/u/2646/shine.jpg?f=community)
Is het mogelijk om de logging van de Windows firewall te tunen qua performance?
Aanzetten van logging lijkt namelijk nogal een performance hit te veroorzaken (lineair met het aantal loglines).
Test scenario:
* netcat op Windows machine (nc64.exe -l -u -p 10000)
* python scriptje op Linux die UDP packets naar de machine stuurt (100 bytes/packet, 100-20000+ packets/s waarbij elke seconde 100 packets/s extra gestuurd worden)
* firewall rule waarbij inbound UDP verkeer voor nc64.exe geblockd wordt
* "log dropped packets" yes, "log sucesful connections" yes
Zonder logging doet dit geen centje pijn. Met logging echter:
* gebruikt het vanaf een bepaald punt alle CPU (svchost.exe, maar ook interrupts, etc)
De firewall log vermeldt aan het einde ook dat niet alles gelogd is: "INFO-EVENTS-LOST"
Er moet hier sprake zijn van een gruwelijke inefficientie, want met een logline van 90-100 bytes lengte per event gaat het bij bv 10000 dropped packets/seconde om nog geen 1MB/s wat naar pfirewall.log geschreven moet worden.
De vraag is dus of dit nog enigszins tweakbaar is.
Aanzetten van logging lijkt namelijk nogal een performance hit te veroorzaken (lineair met het aantal loglines).
Test scenario:
* netcat op Windows machine (nc64.exe -l -u -p 10000)
* python scriptje op Linux die UDP packets naar de machine stuurt (100 bytes/packet, 100-20000+ packets/s waarbij elke seconde 100 packets/s extra gestuurd worden)
* firewall rule waarbij inbound UDP verkeer voor nc64.exe geblockd wordt
* "log dropped packets" yes, "log sucesful connections" yes
Zonder logging doet dit geen centje pijn. Met logging echter:
* gebruikt het vanaf een bepaald punt alle CPU (svchost.exe, maar ook interrupts, etc)
De firewall log vermeldt aan het einde ook dat niet alles gelogd is: "INFO-EVENTS-LOST"
Er moet hier sprake zijn van een gruwelijke inefficientie, want met een logline van 90-100 bytes lengte per event gaat het bij bv 10000 dropped packets/seconde om nog geen 1MB/s wat naar pfirewall.log geschreven moet worden.
De vraag is dus of dit nog enigszins tweakbaar is.
/u/38159/DirkJan.png?f=community)
/u/96077/crop5b8d7c89bae9d_cropped.png?f=community)