Główna » jak » Jak śledzić aktywność zapory w dzienniku Zapory systemu Windows

    Jak śledzić aktywność zapory w dzienniku Zapory systemu Windows

    W procesie filtrowania ruchu internetowego wszystkie zapory mają pewien typ funkcji rejestrowania, która dokumentuje sposób, w jaki zapora obsługuje różne rodzaje ruchu. Te dzienniki mogą dostarczyć cennych informacji, takich jak źródłowe i docelowe adresy IP, numery portów i protokoły. Można również użyć pliku dziennika Zapory systemu Windows do monitorowania połączeń TCP i UDP oraz pakietów blokowanych przez zaporę.

    Dlaczego i kiedy logowanie do zapory jest przydatne?

    1. Aby sprawdzić, czy nowo dodane reguły zapory działają poprawnie, lub je usunąć, jeśli nie działają zgodnie z oczekiwaniami.
    2. Aby ustalić, czy Zapora systemu Windows jest przyczyną awarii aplikacji - Za pomocą funkcji rejestrowania Zapory można sprawdzić wyłączone otwory portu, dynamiczne otwory portów, analizować porzucone pakiety za pomocą flag wypychania i pilnych oraz analizować porzucone pakiety na ścieżce wysyłania.
    3. Aby pomóc i zidentyfikować złośliwą aktywność - dzięki funkcji rejestrowania zapory można sprawdzić, czy w sieci nie ma żadnych szkodliwych działań, chociaż trzeba pamiętać, że nie zawiera ona informacji potrzebnych do wyśledzenia źródła działania.
    4. Jeśli zauważysz wielokrotne nieudane próby uzyskania dostępu do zapory i / lub innych wysokoprofilowych systemów z jednego adresu IP (lub grupy adresów IP), możesz napisać regułę, aby usunąć wszystkie połączenia z tej przestrzeni IP (upewniając się, że Adres IP nie jest fałszowany).
    5. Połączenia wychodzące z wewnętrznych serwerów, takich jak serwery WWW, mogą wskazywać, że ktoś używa twojego systemu do ataków na komputery znajdujące się w innych sieciach.

    Jak wygenerować plik dziennika

    Domyślnie plik dziennika jest wyłączony, co oznacza, że ​​do pliku dziennika nie są zapisywane żadne informacje. Aby utworzyć plik dziennika, naciśnij "Win key + R", aby otworzyć pole Run. Wpisz "wf.msc" i naciśnij Enter. Pojawi się ekran "Zapora systemu Windows z zaawansowanymi zabezpieczeniami". Po prawej stronie ekranu kliknij "Właściwości".

    Pojawi się nowe okno dialogowe. Teraz kliknij zakładkę "Profil prywatny" i wybierz "Dostosuj" w "Sekcji logowania".

    Otworzy się nowe okno iz tego ekranu wybierz maksymalny rozmiar dziennika, lokalizację i czy logować tylko upuszczone pakiety, udane połączenie lub jedno i drugie. Zrzucony pakiet to pakiet, który został zablokowany Zaporą systemu Windows. Pomyślne połączenie odnosi się zarówno do połączeń przychodzących, jak i do wszystkich połączeń nawiązywanych przez Internet, ale nie zawsze oznacza to, że intruz pomyślnie nawiązał połączenie z Twoim komputerem.

    Domyślnie Zapora systemu Windows zapisuje wpisy dziennika w % SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log i przechowuje tylko ostatnie 4 MB danych. W większości środowisk produkcyjnych ten dziennik będzie stale zapisywać na dysku twardym, a jeśli zmienisz limit rozmiaru pliku dziennika (w celu rejestrowania aktywności przez dłuższy czas), może to wpłynąć na wydajność. Z tego powodu należy włączyć rejestrowanie tylko wtedy, gdy aktywnie rozwiązuje problem, a następnie natychmiast wyłącza rejestrowanie po zakończeniu.

    Następnie kliknij zakładkę "Profil publiczny" i powtórz te same czynności, które zrobiłeś dla zakładki "Profil prywatny". Włączono teraz dziennik dla prywatnych i publicznych połączeń sieciowych. Plik dziennika zostanie utworzony w rozszerzonym formacie dziennika W3C (.log), który można sprawdzić za pomocą wybranego edytora tekstu lub zaimportować do arkusza kalkulacyjnego. Pojedynczy plik dziennika może zawierać tysiące wpisów tekstowych, więc jeśli czytasz je przez Notatnik, wyłącz zawijanie słów, aby zachować formatowanie kolumn. Jeśli przeglądasz plik dziennika w arkuszu kalkulacyjnym, wszystkie pola będą logicznie wyświetlane w kolumnach dla łatwiejszej analizy.

    Na głównym ekranie "Zapora systemu Windows z zaawansowanymi zabezpieczeniami" przewiń w dół, aż zobaczysz link "Monitorowanie". W okienku Szczegóły w obszarze "Ustawienia rejestrowania" kliknij ścieżkę pliku obok "Nazwa pliku". Dziennik zostanie otwarty w Notatniku.

    Interpretowanie dziennika Zapory systemu Windows

    Dziennik zabezpieczeń Zapory systemu Windows zawiera dwie sekcje. Nagłówek zawiera statyczną, opisową informację o wersji dziennika i dostępnych polach. Treść dziennika to skompilowane dane wprowadzone w wyniku ruchu, który próbuje przejść przez zaporę ogniową. Jest to lista dynamiczna, a nowe wpisy pojawiają się na dole dziennika. Pola są pisane od lewej do prawej strony. (-) jest używany, gdy nie ma dostępu do pola.

    Zgodnie z dokumentacją Microsoft Technet nagłówek pliku dziennika zawiera:

    Wersja - wyświetla, która wersja dziennika zabezpieczeń Zapory systemu Windows jest zainstalowana.
    Oprogramowanie - wyświetla nazwę oprogramowania tworzącego dziennik.
    Czas - wskazuje, że wszystkie informacje o znaczniku czasu w dzienniku są w czasie lokalnym.
    Pola - Wyświetla listę pól dostępnych dla wpisów w dzienniku bezpieczeństwa, jeśli dane są dostępne.

    Podczas gdy treść pliku dziennika zawiera:

    date - pole daty wskazuje datę w formacie RRRR-MM-DD.
    czas - czas lokalny jest wyświetlany w pliku dziennika w formacie GG: MM: SS. Godziny podane są w formacie 24-godzinnym.
    akcja - ponieważ zapora przetwarza ruch, niektóre akcje są rejestrowane. Zarejestrowane akcje to DROP dla upuszczenia połączenia, OPEN dla otwarcia połączenia, ZAMKNIJ dla zamknięcia połączenia, OPEN-INBOUND dla sesji przychodzącej otwartej dla komputera lokalnego i INFO-EVENTS-LOST dla zdarzeń przetworzonych przez Zaporę systemu Windows, ale nie zostały zarejestrowane w dzienniku zabezpieczeń.
    protocol - Protokół używany, taki jak TCP, UDP lub ICMP.
    src-ip - Wyświetla źródłowy adres IP (adres IP komputera próbującego nawiązać komunikację).
    dst-ip - Wyświetla docelowy adres IP próby połączenia.
    src-port - Numer portu na komputerze wysyłającym, z którego próbowano nawiązać połączenie.
    dst-port - port, do którego komputer wysyłający próbował nawiązać połączenie.
    size - Wyświetla rozmiar pakietu w bajtach.
    tcpflags - Informacje o flagach kontrolnych TCP w nagłówkach TCP.
    tcpsyn - Wyświetla numer sekwencji TCP w pakiecie.
    tcpack - Wyświetla numer potwierdzenia TCP w pakiecie.
    tcpwin - Wyświetla rozmiar okna TCP w bajtach w pakiecie.
    icmptype - Informacje o komunikatach ICMP.
    icmpcode - Informacje o komunikatach ICMP.
    info - Wyświetla wpis, który zależy od rodzaju akcji, która miała miejsce.
    ścieżka - Wyświetla kierunek komunikacji. Dostępne opcje to WYŚLIJ, ODBIERZ, PRZEWIJANIE I NIEZNANY.

    Jak zauważyłeś, wpis w dzienniku jest rzeczywiście duży i może zawierać do 17 informacji powiązanych z każdym wydarzeniem. Jednak tylko osiem pierwszych informacji jest ważnych dla ogólnej analizy. Dzięki szczegółom w dłoni możesz teraz analizować informacje o szkodliwej aktywności lub problemach z aplikacją debugowania.

    Jeśli podejrzewasz jakąś złośliwą aktywność, otwórz plik dziennika w Notatniku i odfiltruj wszystkie wpisy dziennika przy pomocy DROP w polu akcji i zanotuj, czy docelowy adres IP kończy się numerem innym niż 255. Jeśli znajdziesz wiele takich wpisów, to weź notatka docelowych adresów IP pakietów. Po zakończeniu rozwiązywania problemu można wyłączyć rejestrowanie zapory.

    Rozwiązywanie problemów z siecią może być dość trudne, a zalecaną dobrą praktyką podczas rozwiązywania problemów z zaporą systemu Windows jest włączenie dzienników macierzystych. Chociaż plik dziennika Zapory systemu Windows nie jest przydatny do analizy ogólnego bezpieczeństwa sieci, nadal dobrze sprawdza się, jeśli chcesz monitorować, co dzieje się za kulisami.

    Jak śledzić, czy wysłany e-mail został otwarty w Gmailu
    Jak śledzić utracone urządzenie za pomocą Menedżera urządzeń Android
    Jak śledzić, wyłączać i czyścić utracony iPhone, iPad lub Mac
    Następny artykuł
    Jak śledzić loty i znaleźć hotele za pomocą Amazon Echo
    Poprzedni artykuł
    Jak śledzić zmiany w programie Excel