Tường lửa Windows: Ghi nhật ký / Thông báo về các yêu cầu gửi đi


17

Tôi đang cố gắng định cấu hình tường lửa Windows với Advanced Security để đăng nhập và cho tôi biết khi nào các chương trình đang cố gắng thực hiện các yêu cầu gửi đi. Trước đây tôi đã thử cài đặt ZoneAlarm, công cụ này rất tuyệt vời với Windows XP. Nhưng hiện tại, tôi không thể cài đặt ZoneAlarm trên Windows 7.

Có thể bằng cách nào đó theo dõi nhật ký hoặc nhận thông báo khi chương trình cố gắng làm điều đó nếu tôi đặt tất cả các kết nối ra thành tự động chặn, để sau đó tôi có thể tạo quy tắc cụ thể cho chương trình và chặn nó không?

Cập nhật
Tôi đã bật tất cả các tùy chọn ghi nhật ký có sẵn thông qua các cửa sổ thuộc tính của Tường lửa Windows với Bảng điều khiển bảo mật nâng cao. Nhưng tôi chỉ thấy các bản ghi trong %systemroot%\system32\LogFiles\Firewall\pfirewall.logtệp chứ không phải trong Trình xem sự kiện, như câu trả lời đầu tiên được đề xuất.

Tuy nhiên, nhật ký mà tôi có thể thấy chỉ cho tôi biết các yêu cầu hoặc IP đích của phản hồi và liệu kết nối được cho phép hay bị chặn. Nhưng nó không cho tôi biết nó thực sự đến từ đâu. Tôi muốn tìm ra đường dẫn tệp của tệp thực thi mà mỗi yêu cầu bị chặn xuất phát. Cho đến nay, tôi đã không thể.

Câu trả lời:


6

Bạn sẽ có thể thấy điều này trong Trình xem sự kiện . Trước tiên, bạn sẽ cần điều chỉnh các tùy chọn ghi nhật ký trong Bảng điều khiển cài đặt nâng cao :

văn bản thay thế

Trong ngăn bên trái của Trình xem sự kiện, mở rộng sang Nhật ký ứng dụng và dịch vụ -> Microsoft -> Windows -> Tường lửa Windows với bảo mật nâng cao :

văn bản thay thế

Ở đó, bạn có thể tạo chế độ xem tùy chỉnh và lọc nhật ký để chỉ các nỗ lực kết nối ra bên ngoài.


1
Cảm ơn! Tôi cần gì để điều chỉnh cụ thể trong bảng điều khiển Cài đặt nâng cao? Bạn đang đề cập đến các tùy chọn đăng nhập dưới Thuộc tính? Nếu vậy, tôi cần phải thay đổi điều gì?
Maxim Zaslavsky

Bạn có thể điều chỉnh các tùy chọn ghi nhật ký tùy theo ý thích của mình, nhưng trước tiên bạn sẽ phải đặt quy tắc cho các kết nối ngoài hoặc nếu không, không có gì được coi là bất thường và sẽ không có gì được ghi lại.
John T

Làm cách nào để lọc nhật ký? Tôi đã chặn tất cả các kết nối ra ngoài nhưng không có gì xuất hiện trong bất kỳ nhật ký nào ở đó ngoại trừ thay đổi cài đặt tường lửa. Tôi nên làm gì?
Maxim Zaslavsky

1
Tôi đã đề cập trong bản cập nhật của tôi về câu hỏi ban đầu chỉ có IP đích được liệt kê. Tôi đang tìm đường dẫn tệp của tệp thực thi đã thực hiện yêu cầu.
Maxim Zaslavsky

1
Sau khi bạn nhấp vào "tạo chế độ xem tùy chỉnh", bạn chọn gì? Nó muốn "Theo nhật ký" hoặc "Theo nguồn". Không ai trong số này dường như là những gì tôi muốn. Tôi chọn cái gì? Làm cách nào để tôi trỏ nó tới "% systemroot% \ system32 \ LogFiles \ Firewall \ pfirewall.log"?
Curtis Yallop

13

Trong Windows 7 & 8, trước tiên bạn cần bật Kiểm tra các kết nối không thành công.

Chính sách máy tính cục bộ (Chạy : GPEdit.msc)> Cấu hình máy tính> Cài đặt Windows> Cài đặt bảo mật> Chính sách cục bộ> Chính sách kiểm toán> Truy cập đối tượng kiểm toán: Lỗi

Bây giờ các kết nối bị hủy cùng với tên thực thi tương ứng sẽ hiển thị tại:

Nhật ký sự kiện> Nhật ký Windows> Bảo mật:

  1. Nền tảng lọc Windows đã chặn một gói: [Id sự kiện: 5152]
  2. Nền tảng lọc Windows đã chặn kết nối: [Id sự kiện: 5157]

Ở đây, bạn sẽ tìm thấy:

Tên ứng dụng: \ device \ harddiskvolume2 \ tệp chương trình \ xyz.exe


7

Tôi đang tìm kiếm cùng một vấn đề và cả Trình xem sự kiện (không có sự kiện) cũng như tùy chọn pfirewall.log (không có tên của chương trình vi phạm) đã giúp tôi xác định điều gì đang xảy ra.

Nhìn xung quanh tôi thích Trình thông báo tường lửa của Windows , thậm chí còn cung cấp GUI hiển thị chương trình vi phạm và cho phép tạo quy tắc ngoại lệ (bạn cần phải sử dụng WFN để tạo quy tắc, không ngoại lệ khi gọi lần đầu tiên).


0

Hãy dùng thử tiện ích Sysmon từ SysIternals. Nó là một trình cài đặt đơn giản và đăng nhập khá tốt. Nhật ký sẽ cung cấp cho bạn tất cả các chi tiết bao gồm chương trình, đường dẫn của tệp, v.v. đang bắt đầu kết nối. Hy vọng nó giúp.


Chào mừng bạn đến với Siêu người dùng! Xin vui lòng đọc lại câu hỏi một cách cẩn thận. Câu trả lời của bạn không trả lời câu hỏi ban đầu, đó là định cấu hình ghi nhật ký trong Tường lửa Windows. Vì vậy, không có câu trả lời của bạn không giúp đỡ.
DavidPostill
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.