Настройка журнала брандмауэра Защитника Windows в режиме повышенной безопасности Configure the Windows Defender Firewall with Advanced Security Log

Область применения Applies to

• Windows 10; Windows 10
• Windows Server 2016 Windows Server 2016

Чтобы настроить брандмауэр Защитника Windows в режиме повышенной безопасности для регистрации пропущенных пакетов или успешных подключений, используйте узел брандмауэра Защитника Windows в режиме повышенной безопасности в оснастке MMC управления групповой политикой. To configure Windows Defender Firewall with Advanced Security to log dropped packets or successful connections, use the Windows Defender Firewall with Advanced Security node in the Group Policy Management MMC snap-in.

Учетные данные администратора Administrative credentials

Для выполнения этих процедур необходимо быть участником группы администраторов домена либо иметь делегированные разрешения на изменение объектов групповой политики. To complete these procedures, you must be a member of the Domain Administrators group, or otherwise be delegated permissions to modify the GPOs.

Настройка журнала брандмауэра Защитника Windows в режиме повышенной безопасности To configure the Windows Defender Firewall with Advanced Security log

Откройте консоль управления групповой политикой в узле Брандмауэр Защитника Windows в режиме повышенной безопасности. Open the Group Policy Management Console to Windows Defender Firewall with Advanced Security.

В области сведений в разделе Обзор щелкните Свойства брандмауэра Защитника Windows. In the details pane, in the Overview section, click Windows Defender Firewall Properties.

Для каждого типа сетевого расположения (домен, частный, общий) выполните следующие действия. For each network location type (Domain, Private, Public), perform the following steps.

Щелкните вкладку, соответствующую типу сетевого расположения. Click the tab that corresponds to the network location type.

В разделе Ведение журнала нажмите Настроить. Under Logging, click Customize.

Путь по умолчанию для журнала — %windir%\system32\logfiles\firewall\pfirewall.log. The default path for the log is %windir%\system32\logfiles\firewall\pfirewall.log. Если вы хотите изменить его, снимите флажок Не настроено и введите путь к новому расположению или нажмите Обзор, чтобы выбрать расположение файла. If you want to change this, clear the Not configured check box and type the path to the new location, or click Browse to select a file location.

Важно! В указываемом расположении должны быть назначены разрешения, позволяющие службе брандмауэра Защитника Windows вести записи в файле журнала. Important: The location you specify must have permissions assigned that permit the Windows Defender Firewall service to write to the log file.

По умолчанию максимальный размер файла журнала составляет 4096 килобайт (КБ). The default maximum file size for the log is 4,096 kilobytes (KB). Если вы хотите изменить это значение, снимите флажок Не настроено и введите новый размер в килобайтах или используйте стрелки вверх и вниз, чтобы выбрать размер. If you want to change this, clear the Not configured check box, and type in the new size in KB, or use the up and down arrows to select a size. Файл не превысит этот размер. При достижении ограничения, старые записи журнала удаляются, чтобы освободить место для вновь созданных. The file will not grow beyond this size; when the limit is reached, old log entries are deleted to make room for the newly created ones.

Журнал не ведется, пока вы не настроите следующие два параметра. No logging occurs until you set one of following two options:

Чтобы создавать запись журнала, когда брандмауэр Защитника Windows пропускает входящий сетевой пакет, установите для параметра Записывать пропущенные пакеты значение Да. To create a log entry when Windows Defender Firewall drops an incoming network packet, change Log dropped packets to Yes.

Чтобы создавать запись журнала, когда брандмауэр Защитника Windows разрешает входящее подключение, установите для параметра Записывать успешные подключения значение Да. To create a log entry when Windows Defender Firewall allows an inbound connection, change Log successful connections to Yes.

Щелкните дважды ОК. Click OK twice.

Устранение неполадок с медленной обработкой журнала Troubleshooting Slow Log Ingestion

Если журналы медленно отображаются в Sentinel, можно уменьшить размер файла журнала. If logs are slow to appear in Sentinel, you can turn down the log file size. Имейте в виду, что это приведет к увеличению использования ресурсов для ротации журнала. Just beware that this will result in more resource usage due to the increased resource usage for log rotation.

Иллюстрированный самоучитель по автоматической установке Windows XP

Файл журнала брандмауэра Windows

Чтобы определить, отклоняет ли данный компьютер входящие пакеты, включите ведение журнала брандмауэром Windows локально либо через групповую политику.

В файл Pfirewall.log, по умолчанию находящийся в корневой папке Windows, в зависимости от параметров (Settings) ведения журнала безопасности (Security Logging) из вкладки Дополнительно (Advanced) диалогового окна Брандмауэр Windows, либо от параметров, заданных установкой групповой политики брандмауэра Windows Разрешать ведение журнала (Windows Firewall: Allow logging), записываются как отклоненные входящие запросы, так и успешные соединения. Содержание файла Pfirewall.log помогает, не задавая исключения и не разрешая сообщения ICMP, определить, принимается ли трафик компьютером, на котором работает брандмауэр Windows.

Например, если установить флажок Записывать пропущенные пакеты (Log dropped packets), то весь непринятый входящий трафик будет отмечаться в файле Pfirewall.log. Просмотреть этот файл можно, открыв его двойным щелчком в корневой папке Windows с помощью Проводника Windows (Windows Explorer). Содержание файла журнала помогает определить случаи, когда трафик, дошедший до Вашего компьютера, не был допущен брандмауэром Windows.

Ниже приведен пример содержания файла Pfirewall.log:

Примечание
Некоторые строки кода перенесены для удобства чтения.

В следующей таблице приводятся названия и описания полей в записях журнала брандмауэра Windows.

Поле	Описание
date	Отображает год, месяц и день принятия пакета. Даты записываются в виде ГГГГ-ММ-ДД, где ГГГГ – год, ММ – месяц, ДД – день.
time	Отображает час, минуту и секунду принятия пакета. Время записывается в виде ЧЧ:ММ:СС, где ЧЧ – часы в 24-часовом формате, ММ – минуты, СС – секунды.
action	Обозначает операцию, зарегистрированную брандмауэром. Возможные значения – OPEN, CLOSE, DROP (открытие, закрытие, отклонение) и INFO-EVENTS-LOST. Значение INFO-EVENTS-LOST присваивается, если событие имело место, но не было записано в журнале.
protocol	Отображает название протокола, использовавшегося при соединении. Это может быть TCP, UDP, ICMP или код из поля протокола в IP-заголовке непринятого пакета.
src-ip	Отображает IP-адрес отправителя пакета.
dst-ip	Отображает IP-адрес получателя пакета.
src-port	Отображает номер порта, с которого был послан пакет, в TCP или UDP заголовке пакета. Запись в поле src-port имеет вид целого числа в диапазоне от 1 до 65535. Данное значение отображается корректно только для трафика, идущего через порты TCP и UDP.
dst-port	Отображает номер порта, на который пакет был послан, в TCP или UDP заголовке пакета. Запись в поле dst-port имеет вид целого числа в диапазоне от 1 до 65535. Данное значение отображается корректно только для трафика, идущего через порты TCP и UDP.
size	Отображает размер пакета в байтах
tcpflags	Отображает контрольные флаги TCP заголовков: A – Ack: Номер октета, который должен прийти следующим F – Fin: Отправитель закончил посылку байтов. P – Psh: Получатель должен передать эти данные прикладной программе как можно быстрее. (Функция Push) R – Rst: Прерывание связи. S – Syn: Cинхронизация номеров сегментов U – Urg: Указатель важной информации
tcpsyn	Отображает номера сегментов TCP в TCP заголовке.
tcpack	Отображает номер следующего октета в TCP заголовке.
tcpwin	Отображает размер окна TCP в TCP заголовке.
icmptype	Отображает тип сообщения ICMP в ICMP заголовке.
icmpcode	Отображает код ICMP в ICMP заголовке.
info	Информационное поле, запись в котором зависит от типа зарегистрированной операции. Например, при операции INFO-EVENTS-LOST запись содержит число, соответствующее количеству событий, произошедших, но не записанных с момента последнего случившегося события данного типа.
path	Отображает направление движения пакета. Принимает значения SEND (для отправленных пакетов), RECEIVE (для принятых пакетов) и FORWARD (для перенаправленных пакетов).

Дефис обозначает отсутствие информации для записи в данном поле.

Логи брандмауэра Windows

Встроенный брандмауэр Windows может не только остановить нежелательный трафик на вашем пороге, но и может протоколировать эти действия и события.

Брандмауэр Windows имеет несколько отличных возможностей, но одна из наиболее часто упускаемых – его возможность логгировать события. Чтобы получить доступ к параметрам этой функций, нажмите кнопку Пуск -> Выполнить -> и введите «firewall.cpl» и нажмите кнопку ОК. После этого перейдите на вкладку Дополнительно и нажмите кнопку «Настройка» в разделе «Ведение журнала безопасности».

Эта область дает вам несколько вариантов работы, связанных с подсистемой протоколирования. Вы можете указать, хотите вы или нет, чтобы логировались все пропущенные пакеты (т.е., блокированные брандмауэром), записывались успешные соединения (т.е., прошедшие через межсетевой экран), либо и то и то. Вы также можете указать местоположение файла журнала, который по умолчанию лежит в C:\Windows\pfirewall.log. Вы можете хранить эти файлы локально или на сетевом диске для быстрого доступа к нескольким файлам журналов брандмауэра с несколькик компьютеров. Наконец, вы также можете установить максимальный размер файла журнала. После внесения изменений, вы можете нажать OK и лог затем будет включен.

Лог-файлы созданные брандмауэром Windows могут оказаться вашими спасителями, особенно когда у вас есть подозрения о наличии злонамеренных действий против вашего компьютера из сети.

Брандмауэр windows журнал безопасности

Журнал безопасности брандмауэра.

Брандмауэр подключения к Интернету (Internet Connection Firewall, ICF) ведет свой журнал безопасности. Журнал безопасности ICF поддерживает следующие возможности:

• Записывать пропущенные пакеты. Этот параметр создает записи в журнале, содержащие сведения о всех потерянных пакетах, исходящих из локальной сети или из Интернета.
• Записывать успешные подключения. Этот параметр создает записи в журнале, содержащие сведения о всех успешных подключениях, инициированных из локальной сети или из Интернета.

Если установить флажок Записывать пропущенные пакеты, будут собираться сведения о каждом пакете, который пытался пройти через ICF, но был обнаружен и отвергнут брандмауэром. Анализируя эти записи, можно выявить все попытки несанкционированного доступа в локальную сеть из Интернета. Так же можно отследить какие службы компьютеров локальной сети пытаются передать данные в Интернет. Последнее может быть вызвано наличием вируса типа «троянский конь» на компьютере в вашей сети. По IP-адресу, сохраненному в журнале, легко определить, какой именно компьютер пытается отправить несанкционированный пакет.

Если установить флажок Записывать успешные подключения, будут собираться сведения о всех успешных подключениях, проходящих через брандмауэр. Например, если пользователь, работающий в сети, успешно войдет на какой-либо веб-узел с помощью обозревателя Internet Explorer, об этом будет записано в журнал.

Журнал безопасности создается в формате Extended Log File Format (расширенный формат файла журнала) и состоит из двух разделов:

• В заголовке содержатся сведения о версии журнала и полях, в которые можно записывать данные. Содержимое заголовка имеет вид статического списка.
• Тело журнала безопасности представляет собой динамический список; новые данные записываются в конец журнала.

По умолчанию ведение журнала безопасности ICF отключено.

В следующих таблицах описываются сведения, хранящиеся в журнале безопасности.

Номер установленной версии журнала безопасности брандмауэра подключения к Интернету

Имя журнала безопасности

Брандмауэр подключения к Интернету Microsoft (ICF)

Задает использование местного времени при записи в журнал отметок времени

Статический список полей, доступных для записей журнала безопасности при наличии данных

date, time, action, protocol, src-ip, dst-ip, src-port, dst-port, size, tcpflags, tcpsyn, tcpack, tcpwin, icmptype, icmpcode, and info

Год, месяц и день регистрации события. Дата представляется в следующем формате:

ГГ-ММ-ДД,где ГГ обозначает год, ММ — месяц, а ДД — число

Время регистрации события с точностью до секунды. Время записывается в следующем формате:

ЧЧ:ММ:СС,где ЧЧ обозначает часы в 24-часовом цикле, ММ — минуты, а СС — секунды

Операция, зарегистрированная брандмауэром. Могут записываться следующие действия: OPEN (открытие), CLOSE (закрытие), DROP (отклонение) и INFO-EVENTS-LOST (потерянные события). Для действия INFO-EVENTS-LOST указывается число событий, которые имели место, но не были занесены в журнал.

OPEN, CLOSE, DROP, INFO-EVENTS-LOST

Протокол, использовавшийся для передачи данных. Если протокол отличен от TCP, UDP и ICMP, в этом поле указывается число пакетов

Исходный IP-адрес (адрес компьютера, пытавшегося установить связь). Записывается в следующем формате:

(число).(число).(число).(число)

IP-адрес назначения (адрес пункта назначения, с которым исходный компьютер пытался установить связь). Записывается в следующем формате:

(число).(число).(число).(число)

Номер исходного порта на компьютере-отправителе. Номер порта задается целым числом в диапазоне от 1 до 65 535. Действительное значение порта возвращают только протоколы TCP и UDP. Все остальные протоколы не поддерживают параметр src-port, для них в этом поле записывается — (дефис)

Порт компьютера назначения. Номер порта задается целым числом в диапазоне от 1 до 65 535. Действительное значение порта возвращают только протоколы TCP и UDP. Все остальные протоколы не поддерживают параметр dst-port, для них в этом поле записывается — (дефис)

Размер пакета в байтах

Флаги управления TCP, содержащиеся в заголовке TCP пакета IP:

Поле	Описание	Пример

A ck Acknowledgment field significant (Включение поля подтверждения)

F in No more data from sender (Конец массива данных отправителя)

P sh Push Function (Функция принудительной доставки)

R st Reset the connection (Сброс подключения)

S yn Synchronize sequence numbers (Синхронизация порядковых номеров)

U rg Urgent Pointer field significant (Включение поля указателя срочных данных)

Флаги записываются прописными буквами. Содержимое полей флагов TCP предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP. Дополнительные сведения о протоколе TCP можно найти в спецификации RFC 793

Порядковый номер TCP в пакете. Содержимое поля tcpsyn предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP

Номер подтверждения TCP в пакете. Содержимое поля tcpack предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP

Размер окна TCP в байтах, указанный в пакете. Содержимое поля tcpwin предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP

Число, представляющее значение поля Type (Тип) в сообщении ICMP

Число, представляющее значение поля Code (Код) в сообщении ICMP

Сведения, зависящие от типа действия. Например, для действия INFO-EVENTS-LOST записывается число событий, которые произошли с момента последней регистрации события этого типа, но не были занесены в журнал

В поля, для которых сведения отсутствуют, записывается символ (-).