Skip to content

Jak śledzić aktywność zapory za pomocą dziennika zapory systemu Windows?

2 de sierpień de 2021
header image4 650x297

W procesie filtrowania ruchu internetowego wszystkie zapory mają pewien rodzaj funkcji rejestrowania, która dokumentuje, w jaki sposób zapora obsługiwała różne rodzaje ruchu. Dzienniki te mogą dostarczać cennych informacji, takich jak źródłowe i docelowe adresy IP, numery portów i protokoły. Możesz także użyć pliku dziennika Zapory systemu Windows do monitorowania połączeń TCP i UDP oraz pakietów, które są blokowane przez zaporę.

Dlaczego i kiedy rejestrowanie w zaporze jest przydatne

  1. Aby zweryfikować, czy nowo dodane reguły zapory działają poprawnie lub je debugować, jeśli nie działają zgodnie z oczekiwaniami.
  2. Aby ustalić, czy Zapora systemu Windows jest przyczyną awarii aplikacji — za pomocą funkcji rejestrowania Zapory można sprawdzać wyłączone i dynamiczne otwory portów, analizować porzucone pakiety za pomocą flag wypychania i pilnych oraz analizować porzucone pakiety na ścieżce wysyłania.
  3. Aby pomóc i zidentyfikować złośliwą aktywność — dzięki funkcji rejestrowania zapory możesz sprawdzić, czy w Twojej sieci występuje jakakolwiek złośliwa aktywność, ale musisz pamiętać, że nie dostarcza ona informacji potrzebnych do wyśledzenia źródła aktywności.
  4. Jeśli zauważysz powtarzające się nieudane próby uzyskania dostępu do zapory i/lub innych systemów o wysokim profilu z jednego adresu IP (lub grupy adresów IP), możesz chcieć napisać regułę odrzucającą wszystkie połączenia z tej przestrzeni IP (upewniając się, że adres IP nie jest podszywany).
  5. Połączenia wychodzące pochodzące z serwerów wewnętrznych, takich jak serwery sieci Web, mogą wskazywać, że ktoś używa Twojego systemu do przeprowadzania ataków na komputery znajdujące się w innych sieciach.

Jak wygenerować plik dziennika

Domyślnie plik dziennika jest wyłączony, co oznacza, że ​​żadne informacje nie są zapisywane w pliku dziennika. Aby utworzyć plik dziennika, naciśnij „klawisz Win + R”, aby otworzyć okno Uruchom. Wpisz „wf.msc” i naciśnij Enter. Pojawi się ekran „Zapora systemu Windows z zabezpieczeniami zaawansowanymi”. Po prawej stronie ekranu kliknij „Właściwości”.

1627881987 515 Jak sledzic aktywnosc zapory za pomoca dziennika zapory systemu Windows

Pojawi się nowe okno dialogowe. Teraz kliknij kartę „Profil prywatny” i wybierz „Dostosuj” w sekcji „Logowanie”.

1627881987 667 Jak sledzic aktywnosc zapory za pomoca dziennika zapory systemu Windows

Otworzy się nowe okno i z tego ekranu wybierz maksymalny rozmiar dziennika, lokalizację i czy rejestrować tylko porzucone pakiety, udane połączenie lub jedno i drugie. Odrzucony pakiet to pakiet zablokowany przez Zaporę systemu Windows. Udane połączenie odnosi się zarówno do połączeń przychodzących, jak i każdego połączenia nawiązanego przez Internet, ale nie zawsze oznacza to, że intruz pomyślnie połączył się z Twoim komputerem.

1627881987 899 Jak sledzic aktywnosc zapory za pomoca dziennika zapory systemu Windows

Domyślnie Zapora systemu Windows zapisuje wpisy dziennika do %SystemRoot%System32LogFilesFirewallPfirewall.log i przechowuje tylko ostatnie 4 MB danych. W większości środowisk produkcyjnych ten dziennik będzie stale zapisywał na dysku twardym, a jeśli zmienisz limit rozmiaru pliku dziennika (w celu rejestrowania aktywności przez dłuższy czas), może to mieć wpływ na wydajność. Z tego powodu należy włączyć rejestrowanie tylko podczas aktywnego rozwiązywania problemu, a następnie natychmiast wyłączyć rejestrowanie po zakończeniu.


Następnie kliknij zakładkę „Profil publiczny” i powtórz te same kroki, które zrobiłeś dla zakładki „Profil prywatny”. Teraz włączyłeś dziennik dla prywatnych i publicznych połączeń sieciowych. Plik dziennika zostanie utworzony w rozszerzonym formacie dziennika W3C (.log), który można sprawdzić za pomocą wybranego edytora tekstu lub zaimportować do arkusza kalkulacyjnego. Pojedynczy plik dziennika może zawierać tysiące wpisów tekstowych, więc jeśli czytasz je za pomocą Notatnika, wyłącz zawijanie słów, aby zachować formatowanie kolumn. Jeśli przeglądasz plik dziennika w arkuszu kalkulacyjnym, wszystkie pola będą logicznie wyświetlane w kolumnach dla łatwiejszej analizy.

Na głównym ekranie „Zapora systemu Windows z zaawansowanymi zabezpieczeniami” przewiń w dół, aż zobaczysz link „Monitorowanie”. W okienku Szczegóły w sekcji „Ustawienia rejestrowania” kliknij ścieżkę pliku obok „Nazwa pliku”. Dziennik otwiera się w Notatniku.

1627881987 746 Jak sledzic aktywnosc zapory za pomoca dziennika zapory systemu Windows

Interpretowanie dziennika Zapory systemu Windows

Dziennik zabezpieczeń Zapory systemu Windows zawiera dwie sekcje. Nagłówek zawiera statyczne, opisowe informacje o wersji dziennika i dostępnych polach. Treść dziennika to skompilowane dane, które są wprowadzane w wyniku ruchu próbującego przedostać się przez zaporę. Jest to lista dynamiczna, a na dole dziennika pojawiają się nowe wpisy. Pola są pisane od lewej do prawej strony na całej stronie. Znak (-) jest używany, gdy w polu nie ma wpisu.

1627881987 57 Jak sledzic aktywnosc zapory za pomoca dziennika zapory systemu Windows

Według Dokumentacja Microsoft Technet nagłówek pliku dziennika zawiera:

Wersja — wyświetla wersję dziennika zabezpieczeń Zapory systemu Windows, która jest zainstalowana.
Oprogramowanie — wyświetla nazwę oprogramowania tworzącego dziennik.
Czas — wskazuje, że wszystkie informacje o sygnaturze czasowej w dzienniku są podane w czasie lokalnym.
Pola — wyświetla listę pól dostępnych dla wpisów dziennika zabezpieczeń, jeśli dostępne są dane.

Podczas gdy treść pliku dziennika zawiera:

data — Pole daty określa datę w formacie RRRR-MM-DD.
czas — czas lokalny jest wyświetlany w pliku dziennika w formacie GG:MM:SS. Godziny podane są w formacie 24-godzinnym.
akcja — gdy zapora przetwarza ruch, rejestrowane są pewne akcje. Zarejestrowane akcje to DROP w przypadku porzucenia połączenia, OPEN w celu otwarcia połączenia, CLOSE w celu zamknięcia połączenia, OPEN-INBOUND w przypadku sesji przychodzącej otwartej na komputerze lokalnym oraz INFO-EVENTS-LOST w przypadku zdarzeń przetwarzanych przez Zaporę systemu Windows, ale nie zostały zarejestrowane w dzienniku bezpieczeństwa.
protokół — używany protokół, taki jak TCP, UDP lub ICMP.
src-ip — Wyświetla źródłowy adres IP (adres IP komputera próbującego nawiązać komunikację).
dst-ip — Wyświetla docelowy adres IP próby połączenia.
src-port — Numer portu na komputerze wysyłającym, z którego próbowano nawiązać połączenie.
dst-port — Port, z którym komputer wysyłający próbował nawiązać połączenie.
rozmiar — wyświetla rozmiar pakietu w bajtach.
tcpflags — Informacje o flagach kontrolnych TCP w nagłówkach TCP.
tcpsyn — Wyświetla numer sekwencji TCP w pakiecie.
tcpack — Wyświetla numer potwierdzenia TCP w pakiecie.
tcpwin — Wyświetla rozmiar okna TCP w bajtach w pakiecie.
icmptype — Informacje o komunikatach ICMP.
icmpcode — Informacje o komunikatach ICMP.
info — wyświetla wpis, który zależy od rodzaju wykonanej akcji.
ścieżka — wyświetla kierunek komunikacji. Dostępne opcje to WYŚLIJ, ODBIERZ, PRZEKAŻ i NIEZNANE.


Jak zauważyłeś, wpis w dzienniku jest rzeczywiście duży i może zawierać do 17 informacji powiązanych z każdym zdarzeniem. Jednak tylko osiem pierwszych informacji jest ważnych dla ogólnej analizy. Mając dane w zasięgu ręki, możesz teraz analizować informacje pod kątem złośliwej aktywności lub debugować awarie aplikacji.

Jeśli podejrzewasz jakąkolwiek złośliwą aktywność, otwórz plik dziennika w Notatniku i przefiltruj wszystkie wpisy dziennika za pomocą DROP w polu akcji i zwróć uwagę, czy docelowy adres IP kończy się liczbą inną niż 255. Jeśli znajdziesz wiele takich wpisów, weź notatkę o docelowych adresach IP pakietów. Po zakończeniu rozwiązywania problemu możesz wyłączyć rejestrowanie zapory.

Rozwiązywanie problemów z siecią może czasami być dość zniechęcające, a zalecaną dobrą praktyką podczas rozwiązywania problemów z Zaporą systemu Windows jest włączenie dzienników natywnych. Chociaż plik dziennika Zapory systemu Windows nie jest przydatny do analizy ogólnego bezpieczeństwa sieci, nadal jest dobrą praktyką, jeśli chcesz monitorować, co dzieje się za kulisami.

Czy ten post był pomocny?