W procesie filtrowania ruchu internetowego wszystkie zapory mają pewien typ funkcji rejestrowania, która dokumentuje sposób, w jaki zapora obsługuje różne rodzaje ruchu. Te dzienniki mogą dostarczyć cennych informacji, takich jak źródłowe i docelowe adresy IP, numery portów i protokoły. Można również użyć pliku dziennika Zapory systemu Windows do monitorowania połączeń TCP i UDP oraz pakietów blokowanych przez zaporę.
Domyślnie plik dziennika jest wyłączony, co oznacza, że do pliku dziennika nie są zapisywane żadne informacje. Aby utworzyć plik dziennika, naciśnij "Win key + R", aby otworzyć pole Run. Wpisz "wf.msc" i naciśnij Enter. Pojawi się ekran "Zapora systemu Windows z zaawansowanymi zabezpieczeniami". Po prawej stronie ekranu kliknij "Właściwości".
Pojawi się nowe okno dialogowe. Teraz kliknij zakładkę "Profil prywatny" i wybierz "Dostosuj" w "Sekcji logowania".
Otworzy się nowe okno iz tego ekranu wybierz maksymalny rozmiar dziennika, lokalizację i czy logować tylko usunięte pakiety, udane połączenie lub jedno i drugie. Zrzucony pakiet to pakiet, który został zablokowany Zaporą systemu Windows. Udane połączenie odnosi się zarówno do połączeń przychodzących, jak i wszystkich połączeń, które nawiązywałeś przez Internet, ale nie zawsze oznacza to, że intruz pomyślnie połączył się z twoim komputerem.
Domyślnie Zapora systemu Windows zapisuje wpisy dziennika w % SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log
i przechowuje tylko ostatnie 4 MB danych. W większości środowisk produkcyjnych ten dziennik będzie stale zapisywać na dysku twardym, a jeśli zmienisz limit rozmiaru pliku dziennika (w celu rejestrowania aktywności przez dłuższy czas), może to wpłynąć na wydajność. Z tego powodu należy włączyć rejestrowanie tylko wtedy, gdy aktywnie rozwiązuje problem, a następnie natychmiast wyłącza rejestrowanie po zakończeniu.
Następnie kliknij zakładkę "Profil publiczny" i powtórz te same kroki, co w przypadku zakładki "Profil prywatny". Włączono teraz dziennik dla prywatnych i publicznych połączeń sieciowych. Plik dziennika zostanie utworzony w rozszerzonym formacie dziennika W3C (.log), który można sprawdzić za pomocą dowolnego edytora tekstowego lub zaimportować do arkusza kalkulacyjnego. Pojedynczy plik dziennika może zawierać tysiące wpisów tekstowych, więc jeśli czytasz je przez Notatnik, wyłącz zawijanie słów, aby zachować formatowanie kolumn. Jeśli przeglądasz plik dziennika w arkuszu kalkulacyjnym, wszystkie pola będą logicznie wyświetlane w kolumnach dla łatwiejszej analizy.
Na głównym ekranie "Zapora systemu Windows z zaawansowanymi zabezpieczeniami" przewiń w dół, aż zobaczysz link "Monitorowanie". W okienku Szczegóły w obszarze "Ustawienia rejestrowania" kliknij ścieżkę pliku obok "Nazwa pliku". Dziennik zostanie otwarty w Notatniku.
Dziennik zabezpieczeń Zapory systemu Windows zawiera dwie sekcje. Nagłówek zawiera statyczną, opisową informację o wersji dziennika i dostępnych polach. Treść dziennika to skompilowane dane wprowadzone w wyniku ruchu, który próbuje przejść przez zaporę ogniową. Jest to lista dynamiczna, a nowe wpisy pojawiają się na dole dziennika. Pola są pisane od lewej do prawej strony. (-) jest używany, gdy nie ma dostępu do pola.
Według dokumentacji Microsoft Technet nagłówek pliku dziennika zawiera:
Wersja - wyświetla, która wersja protokołu bezpieczeństwa zapory systemu Windows jest zainstalowana.
Oprogramowanie - wyświetla nazwę oprogramowania, które tworzy dziennik.
Czas - wskazuje, że wszystkie informacje o znaczniku czasu w dzienniku są podawane w czasie lokalnym.
Pola - Wyświetla listę pól, które są dostępne dla wpisów w dzienniku zabezpieczeń, jeśli dane są dostępne.
Podczas gdy treść pliku dziennika zawiera:
date - pole daty wskazuje datę w formacie RRRR-MM-DD.
czas - czas lokalny jest wyświetlany w pliku dziennika przy użyciu formatu GG: MM: SS. Godziny podane są w formacie 24-godzinnym.
akcja - ponieważ zapora przetwarza ruch, niektóre akcje są rejestrowane. Rejestrowane akcje to DROP dla upuszczenia połączenia, OPEN dla otwarcia połączenia, ZAMKNIJ dla zamknięcia połączenia, OPEN-INBOUND dla sesji przychodzącej otwartej na komputerze lokalnym i INFO-EVENTS-LOST dla zdarzeń przetworzonych przez Zaporę systemu Windows, ale nie zostały zapisane w dzienniku zabezpieczeń.
protocol - Protokół używany, taki jak TCP, UDP lub ICMP.
src-ip - Wyświetla źródłowy adres IP (adres IP komputera próbującego nawiązać komunikację).
dst-ip - Wyświetla docelowy adres IP próby połączenia.
src-port - Numer portu na komputerze wysyłającym, z którego próbowano nawiązać połączenie.
dst-port - port, do którego komputer wysyłający próbował nawiązać połączenie.
size - Wyświetla rozmiar pakietu w bajtach.
tcpflags - Informacje o flagach kontrolnych TCP w nagłówkach TCP.
tcpsyn - Wyświetla numer sekwencji TCP w pakiecie.
tcpack - Wyświetla numer potwierdzenia TCP w pakiecie.
tcpwin - Wyświetla rozmiar okna TCP w bajtach w pakiecie.
icmptype - Informacje o komunikatach ICMP.
icmpcode - Informacje o komunikatach ICMP.
info - wyświetla wpis zależny od rodzaju akcji, która miała miejsce.
ścieżka - Wyświetla kierunek komunikacji. Dostępne opcje to WYŚLIJ, ODBIERZ, PRZEWIJANIE I NIEZNANY.
Jak zauważyłeś, wpis w dzienniku jest rzeczywiście duży i może zawierać do 17 informacji powiązanych z każdym wydarzeniem. Jednak tylko osiem pierwszych informacji jest ważnych dla ogólnej analizy. Dzięki szczegółom w dłoni możesz teraz analizować informacje o złośliwym działaniu lub problemach z aplikacją debugowania.
Jeśli podejrzewasz jakąś złośliwą aktywność, otwórz plik dziennika w Notatniku i odfiltruj wszystkie wpisy dziennika przy pomocy DROP w polu akcji i zanotuj, czy docelowy adres IP kończy się numerem innym niż 255. Jeśli znajdziesz wiele takich wpisów, to weź notatka docelowych adresów IP pakietów. Po zakończeniu rozwiązywania problemu można wyłączyć rejestrowanie zapory.
Rozwiązywanie problemów z siecią może być dość trudne, a zalecaną dobrą praktyką podczas rozwiązywania problemów z Zaporą systemu Windows jest włączenie dzienników macierzystych. Chociaż plik dziennika Zapory systemu Windows nie jest przydatny do analizy ogólnego bezpieczeństwa sieci, nadal dobrym pomysłem jest monitorowanie tego, co dzieje się za kulisami.