在過濾網際網路流量的過程中,所有防火牆都具有某種型別的日誌記錄功能,記錄防火牆如何處理各種型別的流量。這些日誌可以提供有價值的資訊,如源和目標IP地址、埠號和協議。您還可以使用Windows防火牆日誌檔案監視TCP和UDP連線以及被防火牆阻止的資料包。
預設情況下,日誌檔案被禁用,這意味著沒有資訊寫入日誌檔案。要建立日誌檔案,請按“Win key+R”開啟“執行”框。“型別”wf.msc公司”然後按Enter。出現“Windows防火牆高階安全”螢幕。在螢幕右側,單擊“屬性”
將出現一個新對話方塊。現在單擊“Private Profile”選項卡並在“Logging部分”中選擇“Customize”
將開啟一個新視窗,從該螢幕中選擇最大日誌大小、位置,以及是否只記錄丟棄的資料包、成功連線或兩者。丟棄的資料包是Windows防火牆已阻止的資料包。成功的連線既指傳入的連線,也指您透過Internet建立的任何連線,但並不總是意味著入侵者已成功連線到您的計算機。
預設情況下,Windows防火牆將日誌條目寫入%SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log檔案只儲存最後4MB的資料。在大多數生產環境中,此日誌會不斷寫入硬碟,如果更改日誌檔案的大小限制(以便長時間記錄活動),則可能會影響效能。因此,應該僅在主動排除問題時啟用日誌記錄,然後在完成後立即禁用日誌記錄。
接下來,單擊“公共配置檔案”選項卡,重複您為“私有配置檔案”選項卡所做的相同步驟。您現在已打開了專用網路連線和公用網路連線的日誌。日誌檔案將以W3C擴充套件日誌格式(.log)建立,您可以使用您選擇的文字編輯器檢查該檔案,或將其匯入電子表格。單個日誌檔案可以包含數千個文字條目,因此如果您正在透過記事本讀取它們,則禁用word包裝以保留列格式。如果您正在電子表格中檢視日誌檔案,則所有欄位將邏輯地顯示在列中,以便於分析。
在主“Windows Firewall with Advanced Security”螢幕上,向下滾動,直到看到“Monitoring”連結。在“詳細資訊”窗格中的“日誌記錄設定”下,單擊“檔名”旁邊的檔案路徑。日誌將在記事本中開啟。
Windows防火牆安全日誌包含兩個部分。標頭提供有關日誌版本和可用欄位的靜態描述性資訊。日誌主體是由於試圖穿越防火牆的流量而輸入的已編譯資料。它是一個動態列表,新條目不斷出現在日誌的底部。欄位是從左到右寫在頁面上的。如果欄位沒有可用條目,則使用(-)。
根據Microsoft Technet文件,日誌檔案的頭包含:
版本-顯示所使用的Windows防火牆安全日誌的版本已安裝。軟體-顯示建立日誌時間-指示日誌中的所有時間戳資訊都是本地的時間。領域-顯示可用於安全日誌項的欄位列表(如果資料可用)。
而日誌檔案的正文包含:
日期-日期欄位以YYYY-MM格式標識日期-DD.時間-本地時間以HH:MM:SS格式顯示在日誌檔案中。小時以24小時為單位格式.動作-當防火牆處理流量時,會記錄某些操作。記錄的操作包括:刪除連線的DROP、開啟連線的OPEN、關閉連線的CLOSE、開啟本地計算機的入站會話的OPEN-INBOUND和Windows防火牆處理的事件的INFO-EVENTS-LOST,但這些操作未記錄在安全日誌中日誌協議-使用的協議,如TCP,UDP,或者ICMP.src檔案-ip—顯示源ip地址(嘗試建立通訊的計算機的ip地址)。dst ip—顯示連線的目標ip地址嘗試.src-埠—連線所來自的傳送計算機上的埠號嘗試.dst-埠-傳送計算機正在嘗試的埠**連線.尺寸-顯示資料包大小位元組.tcpflags-有關TCP中的TCP控制標誌的資訊標題.tcpsyn-在中顯示TCP序列號包.tcpack-在中顯示TCP確認號包.tcpwin-以位元組為單位顯示TCP視窗大小,在資料包.icmptype-有關ICMP的資訊訊息.icmpcode-有關ICMP的資訊訊息.info-顯示一個條目,該條目取決於所執行操作的型別發生。路徑-顯示通訊方向。可用的選項有SEND、RECEIVE、FORWARD和UNKNOWN。
正如您所注意到的,日誌條目確實很大,可能有多達17條與每個事件相關的資訊。然而,只有前八條資訊對一般分析很重要。有了這些細節,現在您可以分析惡意活動或除錯應用程式失敗的資訊。
如果懷疑有任何惡意活動,請在記事本中開啟日誌檔案,並在操作欄位中使用DROP篩選所有日誌條目,並注意目標IP地址是否以255以外的數字結尾。如果您發現許多這樣的條目,那麼請記下資料包的目標IP地址。完成故障排除後,可以禁用防火牆日誌記錄。
對網路問題進行故障排除有時會讓人望而生畏,在對Windows防火牆進行故障排除時,一個推薦的好做法是啟用本機日誌。雖然Windows防火牆日誌檔案對於分析網路的整體安全性沒有用處,但是如果您想監視幕後發生的事情,它仍然是一種很好的做法。
... 對電腦保安感到困惑嗎?不知道如何保護你的電腦?在本指南中,我們將向您展示我們用來保護自己電腦保安的軟體和工具。這裡有最好的安全軟體和工具。 ...
... 但是,有時需要允許程式透過防火牆。下面介紹如何允許任何程式透過Windows10中的防火牆,以及更改當前允許的應用程式。 ...
...,或者你需要在沒有它的情況下測試某些東西,下面介紹如何在Windows10中關閉WindowsDefender。 ...
...程式訪問Windows或Mac計算機上的internet?讓我們來探討一下如何在PC或膝上型電腦上實現這一點。 ...
...清除Chrome快取檔案,看看這是否能解決連線問題。以下是如何去除Chrome的快取內容: ...
...窺探統治,最好的安卓防火牆應用程式是AFWall+。下面是如何設定它。 ...
...你的系統,例如,可能是滲透他們的第一步。因此,評估如何保護您的系統是值得的。 ...
...安全的例子,透過默默無聞,這一概念是根本上的缺陷。如何訪問系統的祕密是安全的,因為只有特定組中的人知道它。但是一旦這個祕密被洩露,或者因為它被揭露,被觀察,被猜測,或者被解決了,你的安全就無效了。最好...
...道:在Windows中,私有網路和公共網路有什麼區別? 以後如何允許或不允許訪問 對於同一個應用程式,Windows防火牆不會詢問您兩次,但您可以更改設定以允許或禁止將來使用任何應用程式。為此,請進入“控制面板”>“系統...
...上的另一個裝置時,它會指定一個埠號,讓接收裝置知道如何處理流量。當IP地址顯示如何到達網路上特定裝置的通訊量時,埠號讓接收裝置知道哪個程式獲得該通訊量。預設情況下,來自internet的大多數未經請求的流量都被Windo...