Windows 防火墙的启动、停止、重启和退出日志记录主要通过 Windows 事件查看器以及防火墙日志文件(如 pfirewall.log)来进行。以下是详细的记录方式和步骤。

Windows高级安全防火墙 相关的事件日志文件。具体来说,它们包含与连接安全、防火墙和诊断方面相关的详细日志。以下是每个日志文件的作用说明:

1. ConnectionSecurity.evtx

  • 位置C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4ConnectionSecurity.evtx
  • 目的: 该日志文件包含与 连接安全规则 相关的事件,这些规则用于 Windows 高级安全防火墙。
  • 记录内容:
    • 该日志通常包括与 IPsec(Internet Protocol Security,互联网协议安全)策略相关的事件,IPsec 用于保护网络通信。
    • 它跟踪连接安全规则的执行,这些规则用于根据加密和身份验证要求控制进出流量。
    • 例如,如果正在建立 IPsec 连接或有任何相关问题,它们将被记录在此日志中。

      ConnectionSecurity.evtx 日志功能的分类表格化,涵盖了与连接安全相关的主要类型和用途。

      功能分类 描述 记录内容
      IPSec 连接状态 记录 IP 安全 (IPSec) 连接的建立、断开、错误以及状态更新。 - IPSec 连接的成功建立或断开- 与 IPSec 连接相关的错误代码或警告- 认证失败或密钥交换失败等问题
      身份验证失败 记录连接过程中身份验证失败的事件。 - 认证类型(例如 Kerberos、证书验证等)- 身份验证失败的源 IP 地址、目标地址、原因、错误代码
      加密失败 记录在加密过程中的错误或失败。 - 加密算法类型- 加密失败的错误信息和错误代码
      安全策略应用 记录与安全策略应用相关的事件,如 IPsec 策略、传输加密设置等。 - 安全策略应用成功或失败- 特定策略的名称、参数和状态- 安全策略的配置更改
      网络连接加密 记录网络连接的加密过程,确保数据的保密性。 - 连接加密状态(例如启用、禁用)- 连接加密的失败或错误原因
      证书验证 记录证书验证过程,包括证书的有效性检查和验证过程中的任何问题。 - 证书颁发机构(CA)和证书详细信息- 验证失败的原因,如过期、撤销、无效证书等
      传输安全配置更改 记录传输安全配置的更改,例如端口安全、SSL/TLS 设置更改等。 - 安全配置更改的详细信息- 变更的时间戳和涉及的具体操作
      连接加密协议 记录连接中使用的加密协议(如 SSL/TLS、IPSec 等)及其状态。 - 加密协议的类型- 协议的状态信息(例如启用、禁用、错误等)
      连接访问控制 记录与连接访问控制相关的事件,如允许或拒绝特定连接请求。 - 连接请求被允许或拒绝的详细信息- 拒绝连接的原因(如规则、权限设置)
      网络攻击检测 记录与网络攻击相关的安全事件,如拒绝服务攻击(DoS)或端口扫描。 - 检测到的异常活动(如 DoS 攻击、端口扫描、异常流量模式)- 攻击的源地址、目标地址和类型

      注释:

      • ConnectionSecurity.evtx 主要用于记录和监控与网络连接安全相关的事件。
      • 日志内容涉及加密、身份验证、访问控制等方面,帮助管理员发现潜在的安全问题或攻击行为。

      通过这些记录,系统管理员可以实时监控连接安全状态,并进行故障排查或安全性分析。

2. Firewall.evtx

  • 位置C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx
  • 目的: 该日志文件记录与 Windows 防火墙 本身相关的事件,包括进出流量的防火墙规则执行。
  • 记录内容:
    • 它记录基于防火墙规则的 成功连接 和 阻止连接 事件。
    • 如果网络连接被防火墙允许或阻止(例如,某个端口或 IP 地址被允许或拒绝),这些事件将在此日志中记录。
    • 它还记录防火墙规则的变更,例如添加或修改规则。

      FirewallDiagnostics.evtx 日志功能的分类表格化,涵盖了日志记录的主要类型和用途。

      功能分类 描述 记录内容
      防火墙状态 记录防火墙的运行状态和配置变更。 - 防火墙是否启用或禁用
      网络连接问题诊断 记录与网络连接相关的诊断信息,帮助识别网络连接问题。 - 网络连接的失败或成功状态- 网络连接的诊断信息,例如连接延迟、丢包、连接被阻止等
      连接被阻止 记录被防火墙阻止的连接或流量。 - 被防火墙拦截的入站或出站连接的详细信息- 被拒绝的流量的来源地址、目标地址、端口等
      规则应用问题 记录防火墙规则应用或配置错误的情况。 - 防火墙规则未能正确应用的错误消息- 防火墙规则冲突或优先级配置问题
      防火墙服务错误 记录防火墙服务本身的错误,帮助解决服务相关的故障。 - 防火墙服务未能启动或崩溃- 防火墙服务无法处理请求时的错误信息
      日志存储问题 记录与日志文件存储、日志轮换或日志大小相关的错误。 - 日志文件存储问题- 日志轮换失败或存储容量达到限制
      配置更改通知 记录防火墙配置更改,例如新增、删除或修改规则。 - 新增的规则、已删除的规则或已修改的规则- 配置更改的详细时间戳和涉及的具体操作
      网络访问问题 记录与防火墙保护的网络访问相关的问题。 - 防火墙在保护特定端口或应用时发生的阻塞或错误- 防火墙拦截的访问请求详情
      异常流量检测 记录异常流量或潜在恶意活动,帮助检测网络攻击或入侵行为。 - 高频次访问、端口扫描、异常流量模式- 潜在的拒绝服务攻击 (DoS) 或端口扫描活动

      注释:

      • FirewallDiagnostics.evtx 主要用于帮助诊断防火墙配置、连接、服务等方面的问题。
      • 日志内容非常详细,适用于网络安全分析、故障排查和维护工作。

      这个分类表格提供了一个基本概述,具体的记录内容会根据系统实际的网络配置、事件和防火墙规则应用情况有所变化。

3. FirewallDiagnostics.evtx

  • 位置C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4FirewallDiagnostics.evtx
  • 目的: 该日志文件包含与防火墙的 诊断信息 相关的事件。
  • 记录内容:
    • 它包含有助于诊断防火墙问题的事件。
    • 这可能包括对被阻止的网络连接或允许可疑活动的故障排除日志。
    • 此文件有助于识别与防火墙配置相关的问题,并提供在排查防火墙问题时的信息。

      FirewallDiagnostics.evtx 日志文件用于记录防火墙诊断相关的事件。以下是按功能分类的表格,涵盖了常见的与防火墙相关的日志类型和事件:

      功能分类 描述 记录内容
      防火墙状态变化 记录防火墙启用、禁用、状态变更等重要事件。 - 防火墙启用/禁用的状态变化- 防火墙启动或停止的事件- 状态更改的时间戳和触发操作
      防火墙规则应用 记录防火墙规则的应用和更新事件,包括规则的修改、删除和添加。 - 防火墙规则的变化(添加、删除、修改)- 应用的规则名称、类型(入站/出站规则)
      连接尝试被拒绝 记录被防火墙拒绝的网络连接尝试。 - 被拒绝的连接源 IP 地址、目标地址、端口号、协议类型- 拒绝的原因、规则名称和错误代码
      入站连接日志 记录入站连接的访问控制事件,包括成功与失败的连接请求。 - 入站连接的源地址、目标端口和协议- 成功/失败的连接事件、时间戳
      出站连接日志 记录出站连接的访问控制事件,通常涉及到来自本地计算机的请求。 - 出站连接的目标地址、端口号和协议- 出站连接的成功/失败日志
      流量审计 记录通过防火墙的流量审计日志,包括流量的允许与拒绝事件。 - 流量的传输方向、协议、源/目标 IP 地址、端口号- 允许或拒绝的详细信息
      NAT(网络地址转换) 记录防火墙内网络地址转换(NAT)相关的事件。 - 内部和外部地址的映射- NAT 转换的成功与失败- 映射规则的变化
      防火墙性能监控 记录防火墙性能相关的日志,帮助监控其运行状况与负载。 - 防火墙处理的连接数- 处理速度、延迟或丢包率- 防火墙资源使用情况(内存、CPU 等)
      IP过滤 记录基于 IP 地址的过滤事件。 - 被过滤的 IP 地址或地址段- 被允许/拒绝的访问- IP 过滤规则的变化
      端口过滤 记录基于端口号的过滤事件。 - 被过滤的端口号、协议类型(如 TCP、UDP)- 被允许或拒绝的端口访问事件
      状态检测 记录防火墙状态检测事件,包括活跃连接、超时等。 - 活跃连接的追踪与状态- 超时连接、连接丢失或重置事件
      防火墙错误和警告 记录防火墙相关的错误、警告或异常事件,帮助排查配置或运行时问题。 - 错误或警告信息的详细描述- 错误代码、出错组件、时间戳和上下文信息
      VPN 和远程访问控制 记录与虚拟专用网络(VPN)或远程访问控制相关的事件。 - VPN 连接的成功/失败日志- 远程连接请求的源地址、目标地址、认证状态
      攻击防护日志 记录与防火墙防护网络攻击相关的事件,如 DDoS 攻击、端口扫描等。 - 检测到的异常活动(如 DDoS 攻击、端口扫描、暴力破解等)- 攻击源 IP 地址、目标地址和事件类型

      注释:

      • FirewallDiagnostics.evtx 主要用于记录防火墙诊断信息和事件,帮助网络管理员监控、防范和排查防火墙设置相关问题。
      • 该日志文件为管理员提供了详细的流量记录、连接情况、错误诊断和防火墙配置变更的详细信息,可以有效帮助解决网络安全问题。

      通过这些详细记录,管理员能够及时发现潜在的安全威胁、优化防火墙策略,确保网络的正常和安全运行。

如何查看这些日志:

要查看这些 .evtx 事件日志文件,可以使用 Windows 自带的 事件查看器

步骤:

  1. 打开事件查看器:

    • 按 Win + R,输入 eventvwr.msc,然后按 回车
  2. 加载日志文件:

    • 在左侧面板中,依次展开 应用程序和服务日志 > Microsoft > Windows > Windows Firewall with Advanced Security
    • 在这里,你将找到 FirewallConnectionSecurity 和 FirewallDiagnostics 等日志。

    或者,你也可以手动打开每个 .evtx 文件:

    • 在事件查看器中,点击菜单栏上的 操作,然后选择 打开已保存的日志
    • 浏览到 .evtx 文件的路径(例如,C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx),然后打开它。

这些日志的主要好处:

  • 安全监控:你可以跟踪未经授权的访问尝试、被阻止的连接和规则违反情况,这对于维护网络安全非常重要。
  • 故障排除:如果你的防火墙未按预期工作(例如,阻止合法流量或未正确应用规则),这些日志有助于诊断问题。
  • 合规性和审计:对于需要审计网络流量的环境,这些日志可以在记录合规性方面发挥重要作用。

重要提示:

如果你需要定期解读或分析这些日志,可能需要设置自定义日志转发或自动日志解析工具,以更好地管理和理解这些记录。


Windows 防火墙的启动、停止、重启和退出日志记录主要通过 Windows 事件查看器以及防火墙日志文件(如 pfirewall.log)来进行。以下是详细的记录方式和步骤。

1. 通过事件查看器查看防火墙服务的日志

Windows 防火墙的服务(MpsSvc)的启动、停止、重启和退出会记录到系统日志中。你可以通过 Windows 事件查看器查看这些记录。

步骤:查看防火墙服务日志

  1. 打开事件查看器

    • 按 Win + R,输入 eventvwr.msc,按 Enter 打开事件查看器。
  2. 查找防火墙相关的事件日志

    • 在事件查看器中,依次展开 Windows 日志 > 应用程序
    • 在 应用程序 日志下,查找源为 MpsSvc 或 Microsoft-Windows-Security-Auditing 的事件。
  3. 相关事件信息

    • 事件ID 2004:表示防火墙服务已启动。
    • 事件ID 2005:表示防火墙服务已停止。
    • 事件ID 2006:表示防火墙服务正在退出。
    • 事件ID 2007:表示防火墙服务重新启动。

这些事件通常会详细记录防火墙服务的状态变化,如启动、停止、退出或重启。

示例:

  • 事件ID 2004(防火墙启动):

    Copy Code
    日志源:MpsSvc
    类型:信息
    事件ID:2004
    描述:Windows 防火墙服务已启动。
  • 事件ID 2005(防火墙停止):

    Copy Code
    日志源:MpsSvc
    类型:信息
    事件ID:2005
    描述:Windows 防火墙服务已停止。
  • 事件ID 2006(防火墙退出):

    Copy Code
    日志源:MpsSvc
    类型:信息
    事件ID:2006
    描述:Windows 防火墙服务正在退出。
  • 事件ID 2007(防火墙重启):

    Copy Code
    日志源:MpsSvc
    类型:信息
    事件ID:2007
    描述:Windows 防火墙服务已重新启动。

2. 通过防火墙日志文件记录(pfirewall.log

如果需要更详细的日志记录(例如防火墙的流量活动),可以启用 Windows 防火墙日志记录功能。通过配置防火墙的详细日志,可以记录防火墙的连接、流量的允许/拒绝以及其他事件。

启用防火墙日志记录

  1. 打开“Windows 防火墙”高级设置

    • 打开“控制面板” > 系统和安全 > Windows 防火墙 > 高级设置
  2. 配置日志记录

    • 在 Windows 防火墙高级安全窗口中,点击左侧的 操作 菜单,选择 属性
    • 在属性窗口中,点击 日志记录 标签页。
    • 在日志记录部分,选择 启用日志记录
    • 配置日志文件的位置、大小限制(例如 4MB)等。
  3. 查看 pfirewall.log 文件: 启用日志记录后,详细的防火墙活动会被记录到 pfirewall.log 文件中。默认的日志路径是:

    Copy Code
    C:\Windows\System32\LogFiles\Firewall\pfirewall.log

3. Windows 防火墙服务的启动、停止和重启

  • 启动:防火墙服务启动时,事件查看器中会记录事件ID为 2004 的事件。
  • 停止:防火墙服务停止时,事件查看器中会记录事件ID为 2005 的事件。
  • 重启:防火墙服务重启时,事件查看器中会记录事件ID为 2007 的事件。
  • 退出:当防火墙服务退出时,事件查看器中会记录事件ID为 2006 的事件。

4. 查看防火墙日志文件

通过启用防火墙日志记录,你可以查看 pfirewall.log 文件,其中记录了更多关于防火墙活动的信息。这个日志文件会显示所有通过防火墙的流量记录、允许或拒绝的连接、端口、协议等信息。

5. 常见问题排查

  • 如果未能找到相关日志,可能需要检查防火墙服务是否已正确启用或防火墙设置是否正确。
  • 你可以通过 services.msc 检查防火墙服务状态,并确保其为“正在运行”。

检查防火墙服务:

  1. 按 Win + R,输入 services.msc,按 Enter
  2. 在服务窗口中,查找 Windows Defender 防火墙 或 MpsSvc 服务。
  3. 检查服务状态,确保其为“正在运行”状态。如果未运行,右键点击并选择 启动

总结:

  • 防火墙服务日志:通过事件查看器查看防火墙服务的启动、停止、重启和退出信息,主要关注 MpsSvc 和 Microsoft-Windows-Security-Auditing 的事件。
  • 防火墙详细日志记录:启用 pfirewall.log 文件,记录更详细的网络活动、允许/拒绝流量等。
  • 事件ID
    • 2004:防火墙服务启动。
    • 2005:防火墙服务停止。
    • 2006:防火墙服务退出。
    • 2007:防火墙服务重启。

通过这些日志,你可以有效地监控 Windows 防火墙服务的状态变化及网络流量。

 


Windows 防火墙日志记录的信息主要包括以下几类内容,用于监视、记录和分析网络流量及其与防火墙规则的匹配情况。通过查看这些日志,管理员可以检测到潜在的安全事件,诊断网络问题,或确认网络通信是否被防火墙阻止或允许。

Windows 防火墙日志通常位于文件 pfirewall.log 中,位于路径 C:\Windows\System32\LogFiles\Firewall(路径可能根据操作系统版本和配置有所不同)。具体记录的信息包括:

1. 时间戳 (Timestamp)

每一条日志记录都带有一个时间戳,表示该事件发生的时间。它帮助管理员了解事件发生的具体时间,并可以进行时间上的排序和分析。

  • 示例:2025-01-26 14:35:12

2. 事件类别 (Event Category)

每条日志记录会指明该事件属于哪种类别。常见的事件类别有:

  • Allow:表示防火墙允许某个连接。
  • Block:表示防火墙阻止了某个连接。
  • Inbound/Outbound:分别表示流量是进入(Inbound)还是离开(Outbound)计算机。
  • Dropped:表示某些数据包被丢弃,通常是由于违反了防火墙的规则。

3. 源地址 (Source IP Address)

记录流量来源的 IP 地址。它帮助管理员识别哪个设备发起了通信请求。

  • 示例:192.168.1.10

4. 目标地址 (Destination IP Address)

记录流量目标的 IP 地址,即数据包目标的地址。

  • 示例:10.0.0.1

5. 源端口 (Source Port)

源端口号,表示发起通信的应用程序或服务的端口。该信息有助于识别通信类型或应用程序。

  • 示例:443(HTTPS协议)

6. 目标端口 (Destination Port)

目标端口号,表示接收通信的应用程序或服务的端口。这通常与传输协议有关,例如 HTTP 使用端口 80,HTTPS 使用端口 443。

  • 示例:80(HTTP协议)

7. 协议类型 (Protocol)

表示数据包使用的协议,如 TCP、UDP 等。这个信息有助于了解通信的性质。

  • 示例:TCP 或 UDP

8. 动作 (Action)

记录防火墙对数据包采取的动作,可能的动作包括:

  • Allow:表示该连接被允许通过防火墙。
  • Block:表示该连接被防火墙阻止。
  • Drop:表示该数据包被丢弃。

9. 接口 (Interface)

记录流量通过的网络接口(如本地网络接口或外部网络接口)。对于多网卡的计算机,这个信息可以帮助管理员确定流量是通过哪个网络接口进入或离开的。

  • 示例:Ethernet

10. 规则名称 (Rule Name)

记录触发该事件的防火墙规则的名称。管理员可以通过规则名称来了解是哪一条规则对流量做出了响应。

  • 示例:Block all inbound connections

11. 状态 (State)

一些日志条目会包含关于连接的状态信息,例如:

  • Established:连接已经建立。
  • Closed:连接已关闭。

12. 其他诊断信息

在某些情况下,防火墙日志还会提供额外的诊断信息,帮助进一步分析问题。例如,当网络流量被拒绝时,日志可能还会记录一些有关拒绝的具体原因或细节。

  • 示例:Connection refused by rule 或 Connection timed out

13. 数据包大小 (Packet Size)

记录传输的数据包的大小,以字节为单位。这有助于分析流量负载,判断是否存在异常的大流量或攻击行为。

  • 示例:512 bytes

14. 连接持续时间 (Connection Duration)

在某些情况下,防火墙可能会记录连接的持续时间,尤其是在允许的连接中。这有助于了解流量的生命周期。

  • 示例:Connection duration: 2 minutes

配置防火墙日志记录:

默认情况下,Windows 防火墙不会记录所有事件。要启用防火墙日志记录,可以通过以下步骤:

  1. 打开“控制面板” > “系统和安全” > “Windows 防火墙” > “高级设置”。
  2. 在“Windows 防火墙高级安全”窗口中,选择“操作” > “属性”。
  3. 在“日志记录”选项卡中,选择启用日志记录,并指定日志文件的位置和最大文件大小。

 

通过分析 Windows 防火墙日志,管理员可以了解网络流量的详细信息,并检测和响应潜在的安全威胁。日志记录的信息包括时间、源/目标地址、端口、协议、动作等,这些信息是网络安全和故障排除中不可或缺的工具。


 

posted @   suv789  阅读(110)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· 清华大学推出第四讲使用 DeepSeek + DeepResearch 让科研像聊天一样简单!
· 实操Deepseek接入个人知识库
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· 易语言 —— 开山篇
点击右上角即可分享
微信分享提示