Курс по сетевым технологиям
A A A

Любой пользователь рано или поздно сталкивается с необходимостью анализа логов Windows брандмауэра. Причин для этого множество: 

  • диагностика сетевого подключения, когда некоторые сервисы не работают
  • проверка настроек новых правил фаервола, чтобы убедиться, что ненужное блокируется, а нужно наоборот пропускается
  • анализ сетевой активности на предмет взлома или сканирования и многое другое.

 

По умолчанию после установки системы логирование выключено, поэтому прежде всего включим его. Открыть панель настроек брандмауэра можно 2-мя способами.

 

1-й способ 

Наберите комбинацию клавиш Win + R и в открывшемся окне введите wf.msc:

Окно для запуска команд

После этого откроется панель настроек брандмауэра:

Панель настроек брандмауэра


2-й способ 

Откройте панель управления Control Panel → Windows FirewallAdvanced SettingsТеперь откроем Properties (Свойства):

Панель настроек брандмауэра

Вкладки для 3 сетевых профилей

 

Перед нами 3 вкладки для доменной (Domain profile), общественной (Public profile) и частной (Private profile) сетей. Мы можем настроить логирование в зависимости от того, в какой сети находится компьютер. Кликнем на Customize и в открывшемся окне выберем  соответствующие настройки:

Кнопка Customize

Опции для включения логирования

 

Теперь, когда логирование брандмауэра включено, проверим сам журнал лога:

Открытие файла журнала


Содержимое файла журнала

 

Как видно из рисунка выше сам файл состоит из заголовка и тела. Нас больше интересует тело и состоит оно из следующих полей: 

date, time - время записи лога

action - действие фаервола (ALLOW, DROP и другие)

protocol - протокол

src-ip - адрес отправителя

dst-ip - адрес получателя

src-port - порт отправителя

dst-port - порт получателя

size - размер пакета

tcpflags, tcpsyn, tcpack - TCP флаги

tcpwin - размер TCP окна

icmptype, icmpcode - тип и код ICMP

info - дополнительная информация в зависимости от действия фаервола

path - направление пакета, то есть входящий (RECEIVE) или исходящий (SEND).

 

 

Комментарии для сайта Cackle