在過濾網際網路流量的過程中，所有防火牆都具有某種型別的日誌記錄功能，記錄防火牆如何處理各種型別的流量。這些日誌可以提供有價值的資訊，如源和目標IP地址、埠號和協議。您還可以使用Windows防火牆日誌檔案監視TCP和UDP連線以及被防火牆阻止的資料包。

為什麼以及何時防火牆日誌記錄有用

1. 驗證新新增的防火牆規則是否正常工作，或者在它們不按預期工作時進行除錯。
2. 要確定Windows防火牆是否是應用程式失敗的原因-使用防火牆日誌記錄功能，您可以檢查禁用的埠開啟、動態埠開啟、使用推送和緊急標誌分析丟棄的資料包以及分析傳送路徑上丟棄的資料包。
3. 幫助和識別惡意活動-透過防火牆日誌記錄功能，您可以檢查是否有任何惡意活動發生在您的網路中，儘管您必須記住它沒有提供跟蹤活動源所需的資訊。
4. 如果您注意到多次嘗試從一個IP地址（或一組IP地址）訪問防火牆和/或其他高配置系統失敗，那麼您可能需要編寫一個規則來刪除該IP空間中的所有連線（確保該IP地址沒有被欺騙）。
5. 來自內部伺服器（如Web伺服器）的傳出連線可能表示有人正在使用您的系統對位於其他網路上的計算機發起攻擊。

如何生成日誌檔案

預設情況下，日誌檔案被禁用，這意味著沒有資訊寫入日誌檔案。要建立日誌檔案，請按“Win key+R”開啟“執行”框。“型別”wf.msc公司”然後按Enter。出現“Windows防火牆高階安全”螢幕。在螢幕右側，單擊“屬性”

將出現一個新對話方塊。現在單擊“Private Profile”選項卡並在“Logging部分”中選擇“Customize”

將開啟一個新視窗，從該螢幕中選擇最大日誌大小、位置，以及是否只記錄丟棄的資料包、成功連線或兩者。丟棄的資料包是Windows防火牆已阻止的資料包。成功的連線既指傳入的連線，也指您透過Internet建立的任何連線，但並不總是意味著入侵者已成功連線到您的計算機。

預設情況下，Windows防火牆將日誌條目寫入%SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log檔案只儲存最後4MB的資料。在大多數生產環境中，此日誌會不斷寫入硬碟，如果更改日誌檔案的大小限制（以便長時間記錄活動），則可能會影響效能。因此，應該僅在主動排除問題時啟用日誌記錄，然後在完成後立即禁用日誌記錄。

接下來，單擊“公共配置檔案”選項卡，重複您為“私有配置檔案”選項卡所做的相同步驟。您現在已打開了專用網路連線和公用網路連線的日誌。日誌檔案將以W3C擴充套件日誌格式（.log）建立，您可以使用您選擇的文字編輯器檢查該檔案，或將其匯入電子表格。單個日誌檔案可以包含數千個文字條目，因此如果您正在透過記事本讀取它們，則禁用word包裝以保留列格式。如果您正在電子表格中檢視日誌檔案，則所有欄位將邏輯地顯示在列中，以便於分析。

在主“Windows Firewall with Advanced Security”螢幕上，向下滾動，直到看到“Monitoring”連結。在“詳細資訊”窗格中的“日誌記錄設定”下，單擊“檔名”旁邊的檔案路徑。日誌將在記事本中開啟。

解釋windows防火牆日誌

Windows防火牆安全日誌包含兩個部分。標頭提供有關日誌版本和可用欄位的靜態描述性資訊。日誌主體是由於試圖穿越防火牆的流量而輸入的已編譯資料。它是一個動態列表，新條目不斷出現在日誌的底部。欄位是從左到右寫在頁面上的。如果欄位沒有可用條目，則使用（-）。

根據Microsoft Technet文件，日誌檔案的頭包含：

版本-顯示所使用的Windows防火牆安全日誌的版本已安裝。軟體-顯示建立日誌時間-指示日誌中的所有時間戳資訊都是本地的時間。領域-顯示可用於安全日誌項的欄位列表（如果資料可用）。

而日誌檔案的正文包含：

日期-日期欄位以YYYY-MM格式標識日期-DD.時間-本地時間以HH:MM:SS格式顯示在日誌檔案中。小時以24小時為單位格式.動作-當防火牆處理流量時，會記錄某些操作。記錄的操作包括：刪除連線的DROP、開啟連線的OPEN、關閉連線的CLOSE、開啟本地計算機的入站會話的OPEN-INBOUND和Windows防火牆處理的事件的INFO-EVENTS-LOST，但這些操作未記錄在安全日誌中日誌協議-使用的協議，如TCP，UDP，或者ICMP.src檔案-ip—顯示源ip地址（嘗試建立通訊的計算機的ip地址）。dst ip—顯示連線的目標ip地址嘗試.src-埠—連線所來自的傳送計算機上的埠號嘗試.dst-埠-傳送計算機正在嘗試的埠**連線.尺寸-顯示資料包大小位元組.tcpflags-有關TCP中的TCP控制標誌的資訊標題.tcpsyn-在中顯示TCP序列號包.tcpack-在中顯示TCP確認號包.tcpwin-以位元組為單位顯示TCP視窗大小，在資料包.icmptype-有關ICMP的資訊訊息.icmpcode-有關ICMP的資訊訊息.info-顯示一個條目，該條目取決於所執行操作的型別發生。路徑-顯示通訊方向。可用的選項有SEND、RECEIVE、FORWARD和UNKNOWN。

正如您所注意到的，日誌條目確實很大，可能有多達17條與每個事件相關的資訊。然而，只有前八條資訊對一般分析很重要。有了這些細節，現在您可以分析惡意活動或除錯應用程式失敗的資訊。

如果懷疑有任何惡意活動，請在記事本中開啟日誌檔案，並在操作欄位中使用DROP篩選所有日誌條目，並注意目標IP地址是否以255以外的數字結尾。如果您發現許多這樣的條目，那麼請記下資料包的目標IP地址。完成故障排除後，可以禁用防火牆日誌記錄。

對網路問題進行故障排除有時會讓人望而生畏，在對Windows防火牆進行故障排除時，一個推薦的好做法是啟用本機日誌。雖然Windows防火牆日誌檔案對於分析網路的整體安全性沒有用處，但是如果您想監視幕後發生的事情，它仍然是一種很好的做法。