看起来你被这些重复的Windows Filtering Platform（WFP）连接许可日志淹没了，别担心，这是很常见的问题——这些日志对应的是mDNS（多播DNS）连接事件（5353端口、224.0.0.251组播地址），通常是由svchost.exe（承载DNS Client等服务）或System进程处理网络发现时触发的。下面给你几个实用的解决方法：

一、彻底停止生成这类允许连接的日志（最简单直接） #

如果不需要记录任何“允许连接”的安全日志，可以通过组策略或防火墙设置关闭：

• 按下Win+R，输入gpedit.msc打开本地组策略编辑器
• 导航到：计算机配置 > Windows设置 > 安全设置 > 高级安全Windows Defender防火墙 > Windows Defender防火墙属性
• 依次切换到「域配置文件」「专用配置文件」「公用配置文件」标签，找到「日志记录」区域
• 将“记录被允许的连接”设置为「否」，点击确定保存

这样所有WFP允许连接的事件（包括你看到的事件ID 5156）都会停止生成，日志体积会立刻降下来。

二、精准排除mDNS连接的日志记录（保留其他允许连接日志） #

如果还需要记录其他允许连接的日志，只排除mDNS相关的，可以创建自定义WFP筛选器：

1. 打开「高级安全Windows Defender防火墙」（Win+X菜单中选择「Windows Defender防火墙」，再点击左侧「高级设置」）
2. 右键左侧的「筛选器」，选择「新建筛选器」
3. 填写筛选器名称（比如“排除mDNS连接日志”），描述可写“不记录mDNS协议的允许连接事件”
4. 切换到「条件」标签，添加以下筛选条件：
   • 协议：选择「UDP」（mDNS默认用UDP协议）
   • 本地端口：输入5353
   • 远程地址：输入224.0.0.251
5. 切换到「操作」标签，勾选「允许连接」，然后取消勾选“记录连接”
6. 点击「完成」，之后这类mDNS相关的连接就不会再生成日志了

三、处理已有的大量日志 #

针对已经生成的2.5GB日志，可以这样清理和预防：

• 打开「事件查看器」（Win+X菜单选择「事件查看器」），展开「Windows日志 > 安全」
• 右键「安全」日志，选择「属性」：
  • 设置「最大日志大小」（比如1GB），避免日志无限增长
  • 选择「达到最大日志大小时」的操作：比如「覆盖最早的事件」（自动循环覆盖旧日志），或「归档日志而不覆盖」（自动归档旧日志，不占用当前日志空间）
• 也可以右键「安全」日志，选择「清除日志」，手动清理现有日志（注意：清理前如果需要备份，可选择“保存并清除”）

备注：内容来源于stack exchange，提问作者user1087985