在过滤互联网流量的过程中，所有防火墙都具有某种类型的日志记录功能，记录防火墙如何处理各种类型的流量。这些日志可以提供有价值的信息，如源和目标IP地址、端口号和协议。您还可以使用Windows防火墙日志文件监视TCP和UDP连接以及被防火墙阻止的数据包。

为什么以及何时防火墙日志记录有用

1. 验证新添加的防火墙规则是否正常工作，或者在它们不按预期工作时进行调试。
2. 要确定Windows防火墙是否是应用程序失败的原因-使用防火墙日志记录功能，您可以检查禁用的端口打开、动态端口打开、使用推送和紧急标志分析丢弃的数据包以及分析发送路径上丢弃的数据包。
3. 帮助和识别恶意活动-通过防火墙日志记录功能，您可以检查是否有任何恶意活动发生在您的网络中，尽管您必须记住它没有提供跟踪活动源所需的信息。
4. 如果您注意到多次尝试从一个IP地址（或一组IP地址）访问防火墙和/或其他高配置系统失败，那么您可能需要编写一个规则来删除该IP空间中的所有连接（确保该IP地址没有被欺骗）。
5. 来自内部服务器（如Web服务器）的传出连接可能表示有人正在使用您的系统对位于其他网络上的计算机发起攻击。

如何生成日志文件

默认情况下，日志文件被禁用，这意味着没有信息写入日志文件。要创建日志文件，请按“Win key+R”打开“运行”框。“类型”wf.msc公司”然后按Enter。出现“Windows防火墙高级安全”屏幕。在屏幕右侧，单击“属性”

将出现一个新对话框。现在单击“Private Profile”选项卡并在“Logging部分”中选择“Customize”

将打开一个新窗口，从该屏幕中选择最大日志大小、位置，以及是否只记录丢弃的数据包、成功连接或两者。丢弃的数据包是Windows防火墙已阻止的数据包。成功的连接既指传入的连接，也指您通过Internet建立的任何连接，但并不总是意味着入侵者已成功连接到您的计算机。

默认情况下，Windows防火墙将日志条目写入%SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log文件只存储最后4MB的数据。在大多数生产环境中，此日志会不断写入硬盘，如果更改日志文件的大小限制（以便长时间记录活动），则可能会影响性能。因此，应该仅在主动排除问题时启用日志记录，然后在完成后立即禁用日志记录。

接下来，单击“公共配置文件”选项卡，重复您为“私有配置文件”选项卡所做的相同步骤。您现在已打开了专用网络连接和公用网络连接的日志。日志文件将以W3C扩展日志格式（.log）创建，您可以使用您选择的文本编辑器检查该文件，或将其导入电子表格。单个日志文件可以包含数千个文本条目，因此如果您正在通过记事本读取它们，则禁用word包装以保留列格式。如果您正在电子表格中查看日志文件，则所有字段将逻辑地显示在列中，以便于分析。

在主“Windows Firewall with Advanced Security”屏幕上，向下滚动，直到看到“Monitoring”链接。在“详细信息”窗格中的“日志记录设置”下，单击“文件名”旁边的文件路径。日志将在记事本中打开。

解释windows防火墙日志

Windows防火墙安全日志包含两个部分。标头提供有关日志版本和可用字段的静态描述性信息。日志主体是由于试图穿越防火墙的流量而输入的已编译数据。它是一个动态列表，新条目不断出现在日志的底部。字段是从左到右写在页面上的。如果字段没有可用条目，则使用（-）。

根据Microsoft Technet文档，日志文件的头包含：

版本-显示所使用的Windows防火墙安全日志的版本已安装。软件-显示创建日志时间-指示日志中的所有时间戳信息都是本地的时间。领域-显示可用于安全日志项的字段列表（如果数据可用）。

而日志文件的正文包含：

日期-日期字段以YYYY-MM格式标识日期-DD.时间-本地时间以HH:MM:SS格式显示在日志文件中。小时以24小时为单位格式.动作-当防火墙处理流量时，会记录某些操作。记录的操作包括：删除连接的DROP、打开连接的OPEN、关闭连接的CLOSE、打开本地计算机的入站会话的OPEN-INBOUND和Windows防火墙处理的事件的INFO-EVENTS-LOST，但这些操作未记录在安全日志中日志协议-使用的协议，如TCP，UDP，或者ICMP.src文件-ip—显示源ip地址（尝试建立通信的计算机的ip地址）。dst ip—显示连接的目标ip地址尝试.src-端口—连接所来自的发送计算机上的端口号尝试.dst-端口-发送计算机正在尝试的端口**连接.尺寸-显示数据包大小字节.tcpflags-有关TCP中的TCP控制标志的信息标题.tcpsyn-在中显示TCP序列号包.tcpack-在中显示TCP确认号包.tcpwin-以字节为单位显示TCP窗口大小，在数据包.icmptype-有关ICMP的信息消息.icmpcode-有关ICMP的信息消息.info-显示一个条目，该条目取决于所执行操作的类型发生。路径-显示通信方向。可用的选项有SEND、RECEIVE、FORWARD和UNKNOWN。

正如您所注意到的，日志条目确实很大，可能有多达17条与每个事件相关的信息。然而，只有前八条信息对一般分析很重要。有了这些细节，现在您可以分析恶意活动或调试应用程序失败的信息。

如果怀疑有任何恶意活动，请在记事本中打开日志文件，并在操作字段中使用DROP筛选所有日志条目，并注意目标IP地址是否以255以外的数字结尾。如果您发现许多这样的条目，那么请记下数据包的目标IP地址。完成故障排除后，可以禁用防火墙日志记录。

对网络问题进行故障排除有时会让人望而生畏，在对Windows防火墙进行故障排除时，一个推荐的好做法是启用本机日志。虽然Windows防火墙日志文件对于分析网络的整体安全性没有用处，但是如果您想监视幕后发生的事情，它仍然是一种很好的做法。