Internet-liikenteen suodatusprosessissa kaikilla palomuureilla on jonkinlainen kirjautumisominaisuus, joka dokumentoi, miten palomuuri käsittelee erilaisia liikennemuotoja. Nämä lokit voivat tarjota arvokkaita tietoja, kuten lähde- ja kohde-IP-osoitteet, porttien numerot ja protokollat. Voit myös käyttää Windowsin palomuurin lokitiedostoa seuraamaan TCP- ja UDP-yhteyksiä sekä palomuurin estämiä paketteja.
Lokitiedosto on oletusarvoisesti poistettu käytöstä, mikä tarkoittaa, että lokitiedostoon ei ole kirjoitettu mitään tietoja. Luo lokitiedosto avaamalla Run-ruutu painamalla "Win-näppäin + R". Kirjoita "wf.msc" ja paina Enter. Näyttöön tulee "Windowsin palomuuri, jossa on lisäasetukset" -näyttö. Napsauta näytön oikealla puolella olevaa "Ominaisuudet".
Uusi valintaikkuna avautuu. Napsauta sitten "Yksityinen profiili" -välilehteä ja valitse "Mukauta" kirjautumisjaksoon.
Uusi ikkuna avautuu ja näytöstä avautuu suurin sallittu lokikoko, sijainti ja kirjautuvat vain poistetut paketit, onnistunut yhteys tai molemmat. Pudotettu paketti on paketti, jonka Windowsin palomuuri on estänyt. Menestyksellinen yhteys viittaa sekä tuleviin yhteyksiin että mihin tahansa Internetin kautta tehtyyn yhteyteen, mutta se ei aina tarkoita sitä, että tunkeilija on onnistuneesti liitetty tietokoneeseen.
Oletusarvoisesti Windowsin palomuuri kirjoittaa lokitiedot kohteeseen % SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log
ja tallentaa vain viimeiset 4 Mt dataa. Useimmissa tuotantoympäristöissä tämä loki kirjoittaa jatkuvasti kiintolevylle, ja jos muutat lokitiedoston kokorajoitusta (jos haluat kirjautua tapahtumaan pitkäksi ajaksi), se voi aiheuttaa suorituskyvyn. Tästä syystä sinun on sallittava kirjautumisen vain silloin, kun ongelman vianmääritys on aktiivinen, ja poista heti kirjautumisen heti, kun olet valmis.
Napsauta sitten julkisen profiilin välilehteä ja toista samoja vaiheita kuin "Yksityinen profiili" -välilehdessä. Olet nyt ottanut käyttöön sekä yksityisten että julkisten verkkoyhteyksien lokit. Lokitiedosto luodaan W3C-laajennetussa log-muodossa (.log), jota voit tarkastella haluamasi tekstieditorilla tai tuoda ne laskentataulukkoon. Yksittäinen lokitiedosto voi sisältää tuhansia tekstimerkintöjä, joten jos luet niitä Notepadin kautta, poista sitten sanaakääminen sarakkeen muotoilun säilyttämiseksi. Jos tarkastelet lokitiedostoa laskentataulukossa, kaikki kentät näytetään loogisesti sarakkeissa, jotta analyysi olisi helpompaa.
Selaa pääikkunan "Windowsin palomuuri, jossa on lisäasetukset" -näyttö, kunnes näyttöön tulee seuranta-linkki. Napsauta Tiedosto-osiossa Tiedostoasetukset-kohdan Tiedostonimi-kohdan vieressä olevaa tiedostopolkua. Loki avautuu Muistioon.
Windowsin palomuurin tietoturvapäiväkirja sisältää kaksi osiota. Otsikko antaa staattisia, kuvailevia tietoja lokin versiosta ja käytettävissä olevista kentistä. Lokin runko on kerätty tieto, joka syötetään tuloksena liikenteestä, joka yrittää ylittää palomuurin. Se on dynaaminen luettelo ja uudet merkinnät näkyvät lokin alareunassa. Kentät kirjoitetaan sivun vasemmalta oikealle. Käytetään (-), kun kenttää ei ole saatavilla.
Lokitiedoston otsake sisältää Microsoft Technet -dokumentaation mukaan:
Versio - Näyttää, mikä Windows-palomuurin tietoturvapäiväkirjan versio on asennettu.
Ohjelmisto - Näyttää lokin luomisen ohjelmiston nimen.
Aika - Ilmaisee, että lokitiedon aikaleiman tiedot ovat paikallisesti.
Kentät - Näyttää luettelon kentistä, jotka ovat käytettävissä tietoturvapäiväkirjojen kohdalla, jos tietoja on saatavilla.
Vaikka lokitiedoston runko sisältää:
päivämäärä - Päiväkenttään merkitään päiväys muodossa YYYY-MM-DD.
aika - Paikallinen aika näkyy lokitiedostossa muodossa HH: MM: SS. Tuntia viitataan 24 tunnin muodossa.
toiminta - Kun palomuuri käsittelee liikennettä, tiettyjä toimintoja tallennetaan. Kirjautuneet toiminnot ovat DROP yhteyden avaamiseen, avattu yhteyden avaaminen, sulkeminen yhteyden sulkemiseksi, avoimen paikallisen tietokoneen avatun istunnon avaaminen ja INFO-EVENTS-LOST Windowsin palomuurin käsittelemien tapahtumien yhteydessä. ei tallennettu tietoturvapäiväkirjaan.
protokolla - Käytetty protokolla kuten TCP, UDP tai ICMP.
src-ip - Näyttää lähteen IP-osoitteen (tietokoneen IP-osoite, joka yrittää muodostaa yhteyden).
dst-ip - Näyttää yhteysyrityksen kohde-IP-osoitteen.
src-portti - Portin numero lähettävässä tietokoneessa, josta yhteys yritti.
dst-portti - Portti, johon lähettävä tietokone yritti muodostaa yhteyden.
koko - Näyttää paketin koon tavuina.
tcpflags - Tietoja TCP-ohjausobjekteja TCP-otsikoissa.
tcpsyn - Näyttää TCP-sekvenssinumeron pakettina.
tcpack - Näyttää paketin TCP-kuittausnumeron.
tcpwin - Näyttää TCP-ikkunan koon, tavuina pakettina.
icmptype - Tietoja ICMP-viesteistä.
icmpcode - Tietoja ICMP-viesteistä.
info - Näyttää merkinnän, joka riippuu tapahtuneesta toiminnosta.
polku - Näyttää tiedonsiirron suunnan. Käytettävissä olevat vaihtoehdot ovat SEND, RECEIVE, FORWARD ja UNKNOWN.
Kuten huomaat, lokimerkintä on todella suuri ja sillä voi olla jopa 17 tietoa jokaisesta tapahtumasta. Kuitenkin vain kahdeksan ensimmäistä tietoa on tärkeä yleisen analyysin kannalta. Nyt käsillä olevien tietojen avulla voit analysoida tietoja haitallisista toimista tai virheenkorjausohjelmien vioista.
Jos epäilet haitallista toimintaa, avaa lokitiedosto Muistiossa ja suodata kaikki lokimerkinnät DROP-toiminnolla toimintakentässä ja huomaa, onko kohde-IP-osoite lopetettu muilla kuin 255. Jos löydät useita tällaisia merkintöjä, ota sitten Huomautus pakettien kohde-IP-osoitteista. Kun olet lopettanut ongelman vianmäärityksen, voit poistaa palomuurin kirjautumisen käytöstä.
Verkko-ongelmien vianmääritys voi olla varsin pelottava ajoittain ja suositeltu hyviä käytäntöjä, kun Windowsin palomuurin vianmääritys mahdollistaa alkuperäisten lokien ottamisen käyttöön. Vaikka Windowsin palomuurin lokitiedosto ei ole hyödyllinen verkon yleisen turvallisuuden analysoimiseksi, se on silti hyvä käytäntö, jos haluat seurata tapahtumien taustalla olevia tapahtumia.