Eventos da Plataforma de Filtragem do Windows gravados enquanto o firewall está desativado

É normal obter eventos da Plataforma de Filtragem do Windows no Log de Eventos enquanto o firewall está desativado? Estou no Windows Server 2008 R2 Service Pack 1.

Por exemplo, estou recebendo vários eventos 5156 como este:

The Windows Filtering Platform has permitted a connection.

Application Information:
    Process ID:     6012
    Application Name:   \device\harddiskvolume1\localdomain\syslog\localdomainsyslogserver.exe

Network Information:
    Direction:      Outbound
    Source Address:     127.0.0.1
    Source Port:        52207
    Destination Address:    127.0.0.1
    Destination Port:       1433
    Protocol:       6

Filter Information:
    Filter Run-Time ID: 0
    Layer Name:     Connect
    Layer Run-Time ID:  48

enquanto "netsh advfirewall" mostra isso:

C:\>netsh advfirewall show allprofiles state

Domain Profile Settings:
----------------------------------------------------------------------
State                                 OFF

Private Profile Settings:
----------------------------------------------------------------------
State                                 OFF

Public Profile Settings:
----------------------------------------------------------------------
State                                 OFF
Ok.

Sei que posso removê-lo, alterando a política de auditoria.