Tường lửa Windows: Ghi nhật ký / Thông báo về các yêu cầu gửi đi

Tôi đang cố gắng định cấu hình tường lửa Windows với Advanced Security để đăng nhập và cho tôi biết khi nào các chương trình đang cố gắng thực hiện các yêu cầu gửi đi. Trước đây tôi đã thử cài đặt ZoneAlarm, công cụ này rất tuyệt vời với Windows XP. Nhưng hiện tại, tôi không thể cài đặt ZoneAlarm trên Windows 7.

Có thể bằng cách nào đó theo dõi nhật ký hoặc nhận thông báo khi chương trình cố gắng làm điều đó nếu tôi đặt tất cả các kết nối ra thành tự động chặn, để sau đó tôi có thể tạo quy tắc cụ thể cho chương trình và chặn nó không?

Cập nhật
Tôi đã bật tất cả các tùy chọn ghi nhật ký có sẵn thông qua các cửa sổ thuộc tính của Tường lửa Windows với Bảng điều khiển bảo mật nâng cao. Nhưng tôi chỉ thấy các bản ghi trong %systemroot%\system32\LogFiles\Firewall\pfirewall.logtệp chứ không phải trong Trình xem sự kiện, như câu trả lời đầu tiên được đề xuất.

Tuy nhiên, nhật ký mà tôi có thể thấy chỉ cho tôi biết các yêu cầu hoặc IP đích của phản hồi và liệu kết nối được cho phép hay bị chặn. Nhưng nó không cho tôi biết nó thực sự đến từ đâu. Tôi muốn tìm ra đường dẫn tệp của tệp thực thi mà mỗi yêu cầu bị chặn xuất phát. Cho đến nay, tôi đã không thể.

Bạn sẽ có thể thấy điều này trong Trình xem sự kiện . Trước tiên, bạn sẽ cần điều chỉnh các tùy chọn ghi nhật ký trong Bảng điều khiển cài đặt nâng cao :

Trong ngăn bên trái của Trình xem sự kiện, mở rộng sang Nhật ký ứng dụng và dịch vụ -> Microsoft -> Windows -> Tường lửa Windows với bảo mật nâng cao :

Ở đó, bạn có thể tạo chế độ xem tùy chỉnh và lọc nhật ký để chỉ các nỗ lực kết nối ra bên ngoài.

Trong Windows 7 & 8, trước tiên bạn cần bật Kiểm tra các kết nối không thành công.

Chính sách máy tính cục bộ (Chạy : GPEdit.msc)> Cấu hình máy tính> Cài đặt Windows> Cài đặt bảo mật> Chính sách cục bộ> Chính sách kiểm toán> Truy cập đối tượng kiểm toán: Lỗi

Bây giờ các kết nối bị hủy cùng với tên thực thi tương ứng sẽ hiển thị tại:

Nhật ký sự kiện> Nhật ký Windows> Bảo mật:

1. Nền tảng lọc Windows đã chặn một gói: [Id sự kiện: 5152]
2. Nền tảng lọc Windows đã chặn kết nối: [Id sự kiện: 5157]

Ở đây, bạn sẽ tìm thấy:

Tên ứng dụng: \ device \ harddiskvolume2 \ tệp chương trình \ xyz.exe

Tôi đang tìm kiếm cùng một vấn đề và cả Trình xem sự kiện (không có sự kiện) cũng như tùy chọn pfirewall.log (không có tên của chương trình vi phạm) đã giúp tôi xác định điều gì đang xảy ra.

Nhìn xung quanh tôi thích Trình thông báo tường lửa của Windows , thậm chí còn cung cấp GUI hiển thị chương trình vi phạm và cho phép tạo quy tắc ngoại lệ (bạn cần phải sử dụng WFN để tạo quy tắc, không ngoại lệ khi gọi lần đầu tiên).

Hãy dùng thử tiện ích Sysmon từ SysIternals. Nó là một trình cài đặt đơn giản và đăng nhập khá tốt. Nhật ký sẽ cung cấp cho bạn tất cả các chi tiết bao gồm chương trình, đường dẫn của tệp, v.v. đang bắt đầu kết nối. Hy vọng nó giúp.