代码改变世界

Windows服务器自带防火墙查看启停记录信息

  潇湘隐者  阅读(82)  评论(0编辑  收藏  举报

最近遇到一个案例:一套Windows故障转移群集(WSFC)中一个节点的防火墙(Windows系统自带的防火墙)关闭了,但是不清楚什么时间,什么原因被关闭了,那么是否可以通过日志查看Windows的日志查看防火墙的关闭时间吗?答案是可以,我们可以打开Windows系统的"事件查看器",您可以通过按下Win + R打开运行对话框,输入eventvwr.msc,然后按回车键来打开"事件查看器",也可以通过控制面板进去找到“事件查看器”,下面在测试环境演示一下。

英文系统:

在"Event Viewer"——> "Applications and Services Logs"——> "Microsoft" ——> "Windows" ——> "Windows Firewall With Advanced Security"下选择Firewall文件,然后过滤事件ID为2003的记录。当Windows防火墙的配置被修改时,会生成事件ID 2003的日志记录。这可能包括对防火墙规则、例外设置、安全策略等方面的更改,当然关闭或启动防火墙也会记录ID为2003的日志记录。

中文系统:

打开"事件查看器",在导航窗格中,依次展开“应用程序和服务日志”——> Microsoft——> Windows ——> “高级安全 Windows 防火墙(windows Firewall With Advanced Security)”。然后过滤事件ID为2003的记录就能找到什么时候启用或停用Windows服务器防火墙的停止日志。

如下所示,这里会看到2025-01-10 8:41:48有三条记录,分别表示私有网络设置,局域网设置、公共网络设置,Value变为No,表示禁用防火墙。

A Windows Defender Firewall setting in the Public profile has changed.
New Setting:
 Type: Enable Windows Defender Firewall
 ValueNo
 Modifying User***\***duat
 Modifying Application: C:\Windows\System32\dllhost.exe

虽然这里能看到防火墙被关闭的记录信息,但是仅仅从日志还无法判断防火墙处于什么原因被关闭。因为有时候安装系统补丁或人为操作都有可能。此时就必须接合其他日志(例如,跳板机日志记录)或手段才能进一步分析原因。

相关博文:
阅读排行:
· DeepSeek-R1本地部署如何选择适合你的版本?看这里
· 传国玉玺易主,ai.com竟然跳转到国产AI
· 自己如何在本地电脑从零搭建DeepSeek!手把手教学,快来看看! (建议收藏)
· 我们是如何解决abp身上的几个痛点
· 普通人也能轻松掌握的20个DeepSeek高频提示词(2025版)
历史上的今天:
2024-01-10 MySQL InnoDB ReplicaSet安装文档
2023-01-10 Oracle如何查看当前PDB容器信息
2019-01-10 ORA-12520 TroubleShooting
2016-01-10 小心SQL SERVER 2014新特性——基数评估引起一些性能问题
2016-01-10 SQL SERVER使用ODBC 驱动建立的链接服务器调用存储过程时参数不能为NULL值
2015-01-10 专用服务器模式&共享服务器模式
点击右上角即可分享
微信分享提示