пустой журнал файервола , пропал журнал файервола

На машине раздается интернет через ICS и Traffic Inspector.
Поставили ESS 5.0.95.5 TRIAL посмотреть на эффективность.
В доп. настройках и IDS поставил "Регистрировать все заблокированные соединения" и вчера фильтровал журналы файервола, устранил несколько проблем с интернетом на клиентах. Настроил очистки записей старше 3 суток.

Сегодня весь день через сервер работают, и периодически были проблемы, но журнал файервола абсолютно пуст.
Т.е. нет НИ ОДНОЙ записи ни за вчера, ни за сегодня. Снятие/отключение фильтрации, перезагрузка не помогают.

Такого не может быть, это уж точно. Менял настройки журнала, фильтры - нет результата.
В некоторых других журналах записи есть.

Могут ли быть причиной подобные записи в журнале "системы предотвращения вторжения на узел":

01.06.2012 12:26:03 C:\WINDOWS\system32\services.exe Удалить из реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_EPF­WTDI\0000\LogConf\OverrideConfig заблокировано SelfDefense: зарегистрировать с полной защитой

01.06.2012 11:25:11 C:\WINDOWS\explorer.exe Получить доступ к файлу C:\Program Files\ESET\ESET Smart Security\callmsi.exe определенный доступ заблокирован Самозащита: защищать файлы ESET Выполнить запись в файл

01.06.2012 10:48:24 C:\WINDOWS\system32\svchost.exe Изменить состояние другого приложения C:\WINDOWS\system32\winlogon.exe заблокировано SelfDefense: не разрешать изменения системных процессов

может, ESS мешает работе системы?

Вы имеете  виду причиной проблем с интернетом?

Не, мне непонятно что случилось с журналом. Что посоветуете сделать, чтобы журнал отображался ?
Интернет в настоящий момент работает. Ошибки не часты и не у всех клиентов. Возможно, это я сам уже исправлю.

А может просто там очень много записей и надо дождаться ее загрузки?

Это можно проверить, посмотрев размер файла:
C:\Documents and Settings\All Users\Application Data\ESET\ESET Endpoint Security\Logs\epfwlog.dat

В настройках (Служебные программы - Файлы журнала) еще есть опции, что записи старше определенного срока автоматически удаляются.

26848 Кб
причем, размер меняется потихоньку, раз в несколько секунд, но медленно - по килобайту. И в окне Служебные программы - файлы журнала - время последней запись тоже меняется раз в несколько секунд.

Ждал отображения журнала час, но он оставался пустым, никаких признаков (%) загрузки журнала не было.

Видимо из-за размера и не может открыться. Удалите файл журнала в Безопасном режиме.

После удаления журнала логи пошли. Видимо, 27 Мб журнал уже не открывался. Хотя кто-то на форуме писал о журналах в 1-2 Гб. Спасибо.

А те записи "системы предотвращения вторжения на узел" из моего первого поста можно прокомментировать? Бороться с ними или нет? Добавлять ли в исключения svchost или что-то еще? Повлияет ли это на работу служб системы или ESS?
Кто сталкивался?

Это самозащита антивируса срабатывает. Ничего страшного нет в записях.