Любой пользователь рано или поздно сталкивается с необходимостью анализа логов Windows брандмауэра. Причин для этого множество:
- диагностика сетевого подключения, когда некоторые сервисы не работают
- проверка настроек новых правил фаервола, чтобы убедиться, что ненужное блокируется, а нужно наоборот пропускается
- анализ сетевой активности на предмет взлома или сканирования и многое другое.
По умолчанию после установки системы логирование выключено, поэтому прежде всего включим его. Открыть панель настроек брандмауэра можно 2-мя способами.
1-й способ
Наберите комбинацию клавиш Win + R и в открывшемся окне введите wf.msc.
После этого откроется панель настроек брандмауэра.
2-й способ
Откройте панель управления Control Panel → Windows Firewall → Advanced Settings. Теперь откроем Properties (Свойства)
Перед нами 3 вкладки для доменной (Domain profile), общественной (Public profile) и частной (Private profile) сетей. Мы можем настроить логирование в зависимости от того, в какой сети находится компьютер. Кликнем на Customize и в открывшемся окне выберем соответствующие настройки.
Теперь, когда логирование брандмауэра включено, проверьте сам журнал лога.
Сам файл состоит из заголовка и тела. Нас больше интересует тело и состоит оно из следующих полей:
- date, time — время записи лога
- action — действие фаервола (ALLOW, DROP и другие)
- protocol — протокол
- src-ip — адрес отправителя
- dst-ip — адрес получателя
- src-port — порт отправителя
- dst-port — порт получателя
- size — размер пакета
- tcpflags, tcpsyn, tcpack — TCP флаги
- tcpwin — размер TCP окна
- icmptype, icmpcode — тип и код ICMP
- info — дополнительная информация в зависимости от действия фаервола
- path — направление пакета, то есть входящий (RECEIVE) или исходящий (SEND).