Брандмауэр подключения к Интернету (Internet Connection Firewall, ICF) ведет свой журнал безопасности. Журнал безопасности ICF поддерживает следующие возможности:
Записывать пропущенные пакеты. Этот параметр создает записи в журнале, содержащие сведения о всех потерянных пакетах, исходящих из локальной сети или из Интернета.
Записывать успешные подключения. Этот параметр создает записи в журнале, содержащие сведения о всех успешных подключениях, инициированных из локальной сети или из Интернета.
Если установить флажок Записывать пропущенные пакеты, будут собираться сведения о каждом пакете, который пытался пройти через ICF, но был обнаружен и отвергнут брандмауэром. Анализируя эти записи, можно выявить все попытки несанкционированного доступа в локальную сеть из Интернета. Так же можно отследить какие службы компьютеров локальной сети пытаются передать данные в Интернет. Последнее может быть вызвано наличием вируса типа «троянский конь» на компьютере в вашей сети. По IP-адресу, сохраненному в журнале, легко определить, какой именно компьютер пытается отправить несанкционированный пакет.
Если установить флажок Записывать успешные подключения, будут собираться сведения о всех успешных подключениях, проходящих через брандмауэр. Например, если пользователь, работающий в сети, успешно войдет на какой-либо веб-узел с помощью обозревателя Internet Explorer, об этом будет записано в журнал.
Журнал безопасности создается в формате Extended Log File Format (расширенный формат файла журнала) и состоит из двух разделов:
В заголовке содержатся сведения о версии журнала и полях, в которые можно записывать данные. Содержимое заголовка имеет вид статического списка.
Тело журнала безопасности представляет собой динамический список; новые данные записываются в конец журнала.
По умолчанию ведение журнала безопасности ICF отключено.
В следующих таблицах описываются сведения, хранящиеся в журнале безопасности.
Номер установленной версии журнала безопасности брандмауэра подключения к Интернету
Имя журнала безопасности
Брандмауэр подключения к Интернету Microsoft (ICF)
Задает использование местного времени при записи в журнал отметок времени
Статический список полей, доступных для записей журнала безопасности при наличии данных
date, time, action, protocol, src-ip, dst-ip, src-port, dst-port, size, tcpflags, tcpsyn, tcpack, tcpwin, icmptype, icmpcode, and info
Поле
Описание
Пример
Год, месяц и день регистрации события. Дата представляется в следующем формате:
ГГ-ММ-ДД,где ГГ обозначает год, ММ — месяц, а ДД — число
Время регистрации события с точностью до секунды. Время записывается в следующем формате:
ЧЧ:ММ:СС,где ЧЧ обозначает часы в 24-часовом цикле, ММ — минуты, а СС — секунды
Операция, зарегистрированная брандмауэром. Могут записываться следующие действия: OPEN (открытие), CLOSE (закрытие), DROP (отклонение) и INFO-EVENTS-LOST (потерянные события). Для действия INFO-EVENTS-LOST указывается число событий, которые имели место, но не были занесены в журнал.
OPEN, CLOSE, DROP, INFO-EVENTS-LOST
Протокол, использовавшийся для передачи данных. Если протокол отличен от TCP, UDP и ICMP, в этом поле указывается число пакетов
Исходный IP-адрес (адрес компьютера, пытавшегося установить связь). Записывается в следующем формате:
(число).(число).(число).(число)
IP-адрес назначения (адрес пункта назначения, с которым исходный компьютер пытался установить связь). Записывается в следующем формате:
(число).(число).(число).(число)
Номер исходного порта на компьютере-отправителе. Номер порта задается целым числом в диапазоне от 1 до 65 535. Действительное значение порта возвращают только протоколы TCP и UDP. Все остальные протоколы не поддерживают параметр src-port, для них в этом поле записывается — (дефис)
Порт компьютера назначения. Номер порта задается целым числом в диапазоне от 1 до 65 535. Действительное значение порта возвращают только протоколы TCP и UDP. Все остальные протоколы не поддерживают параметр dst-port, для них в этом поле записывается — (дефис)
Размер пакета в байтах
Флаги управления TCP, содержащиеся в заголовке TCP пакета IP:
A ck Acknowledgment field significant (Включение поля подтверждения)
F in No more data from sender (Конец массива данных отправителя)
P sh Push Function (Функция принудительной доставки)
R st Reset the connection (Сброс подключения)
S yn Synchronize sequence numbers (Синхронизация порядковых номеров)
U rg Urgent Pointer field significant (Включение поля указателя срочных данных)
Флаги записываются прописными буквами. Содержимое полей флагов TCP предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP. Дополнительные сведения о протоколе TCP можно найти в спецификации RFC 793
Порядковый номер TCP в пакете. Содержимое поля tcpsyn предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP
Номер подтверждения TCP в пакете. Содержимое поля tcpack предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP
Размер окна TCP в байтах, указанный в пакете. Содержимое поля tcpwin предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP
Число, представляющее значение поля Type (Тип) в сообщении ICMP
Число, представляющее значение поля Code (Код) в сообщении ICMP
Сведения, зависящие от типа действия. Например, для действия INFO-EVENTS-LOST записывается число событий, которые произошли с момента последней регистрации события этого типа, но не были занесены в журнал
В поля, для которых сведения отсутствуют, записывается символ (-).
Настройка журнала брандмауэра Защитника Windows в режиме повышенной безопасности Configure the Windows Defender Firewall with Advanced Security Log
Область применения Applies to
Windows 10; Windows 10
Windows Server 2016 Windows Server 2016
Чтобы настроить брандмауэр Защитника Windows в режиме повышенной безопасности для регистрации пропущенных пакетов или успешных подключений, используйте узел брандмауэра Защитника Windows в режиме повышенной безопасности в оснастке MMC управления групповой политикой. To configure Windows Defender Firewall with Advanced Security to log dropped packets or successful connections, use the Windows Defender Firewall with Advanced Security node in the Group Policy Management MMC snap-in.
Учетные данные администратора Administrative credentials
Для выполнения этих процедур необходимо быть участником группы администраторов домена либо иметь делегированные разрешения на изменение объектов групповой политики. To complete these procedures, you must be a member of the Domain Administrators group, or otherwise be delegated permissions to modify the GPOs.
Настройка журнала брандмауэра Защитника Windows в режиме повышенной безопасности To configure the Windows Defender Firewall with Advanced Security log
Откройте консоль управления групповой политикой в узле Брандмауэр Защитника Windows в режиме повышенной безопасности. Open the Group Policy Management Console to Windows Defender Firewall with Advanced Security.
В области сведений в разделе Обзор щелкните Свойства брандмауэра Защитника Windows. In the details pane, in the Overview section, click Windows Defender Firewall Properties.
Для каждого типа сетевого расположения (домен, частный, общий) выполните следующие действия. For each network location type (Domain, Private, Public), perform the following steps.
Щелкните вкладку, соответствующую типу сетевого расположения. Click the tab that corresponds to the network location type.
В разделе Ведение журнала нажмите Настроить. Under Logging, click Customize.
Путь по умолчанию для журнала — %windir%\system32\logfiles\firewall\pfirewall.log. The default path for the log is %windir%\system32\logfiles\firewall\pfirewall.log. Если вы хотите изменить его, снимите флажок Не настроено и введите путь к новому расположению или нажмите Обзор, чтобы выбрать расположение файла. If you want to change this, clear the Not configured check box and type the path to the new location, or click Browse to select a file location.
Важно! В указываемом расположении должны быть назначены разрешения, позволяющие службе брандмауэра Защитника Windows вести записи в файле журнала. Important: The location you specify must have permissions assigned that permit the Windows Defender Firewall service to write to the log file.
По умолчанию максимальный размер файла журнала составляет 4096 килобайт (КБ). The default maximum file size for the log is 4,096 kilobytes (KB). Если вы хотите изменить это значение, снимите флажок Не настроено и введите новый размер в килобайтах или используйте стрелки вверх и вниз, чтобы выбрать размер. If you want to change this, clear the Not configured check box, and type in the new size in KB, or use the up and down arrows to select a size. Файл не превысит этот размер. При достижении ограничения, старые записи журнала удаляются, чтобы освободить место для вновь созданных. The file will not grow beyond this size; when the limit is reached, old log entries are deleted to make room for the newly created ones.
Журнал не ведется, пока вы не настроите следующие два параметра. No logging occurs until you set one of following two options:
Чтобы создавать запись журнала, когда брандмауэр Защитника Windows пропускает входящий сетевой пакет, установите для параметра Записывать пропущенные пакеты значение Да. To create a log entry when Windows Defender Firewall drops an incoming network packet, change Log dropped packets to Yes.
Чтобы создавать запись журнала, когда брандмауэр Защитника Windows разрешает входящее подключение, установите для параметра Записывать успешные подключения значение Да. To create a log entry when Windows Defender Firewall allows an inbound connection, change Log successful connections to Yes.
Щелкните дважды ОК. Click OK twice.
Устранение неполадок с медленной обработкой журнала Troubleshooting Slow Log Ingestion
Если журналы медленно отображаются в Sentinel, можно уменьшить размер файла журнала. If logs are slow to appear in Sentinel, you can turn down the log file size. Имейте в виду, что это приведет к увеличению использования ресурсов для ротации журнала. Just beware that this will result in more resource usage due to the increased resource usage for log rotation.
Часто задаваемые вопросы по темам
Какие сведения отображаются в Журнале Брандмауэра?
Все действия Брандмауэра протоколируются и заносятся в Журнал Брандмауэра. В отчете указываются следующие сведения о приложениях и действиях с ними:
Имя приложения.
IP-адрес, порт и протокол, по которому происходил обмен данным.
Дата и время соединения (для TCP) или время, за которое получены пакеты данных с соответствующими величинами трафика (для UDP). Например: 21/11/2017 22:19:39 — 21/11/2017 22:19:42.
Локальный адрес и локальный порт. Например: src: 192.168.0.102:55512.
Входящий и исходящий трафик (в байтах) или количество заблокированных пакетов. Например: in:124 out:79 или blocked packets:1.
Идентификатор приложения на устройстве, ассоциированный с этим трафиком (User ID). Например: uid=10011.
Количество ситуаций сетевых заторов (только для TCP). Например: traffic jam=0. Заторы трафика — это особая ситуация, когда клиентская программа не успевает разгружать TCP-буфер, что может быть причиной медленной передачи данных по сети.
Чтобы открыть Журнал Брандмауэра, запустите Dr.Web, откройте компонент Брандмауэр, после чего нажмите на значок в виде вертикального троеточия и выберите пункт «Журнал».
Обратите внимание, что данные, относящиеся к сетевой активности приложений, сохраняются в отдельном Журнале приложений, который создается отдельно для каждого приложения.
После этого Брандмауэр начнет свою работу. По умолчанию разрешена любая сетевая активность, кроме использования доступа в Интернет в роуминге. Для управления трафиком по своему усмотрению вам понадобится выполнить настройку Брандмауэра.
Логи брандмауэра Windows
Встроенный брандмауэр Windows может не только остановить нежелательный трафик на вашем пороге, но и может протоколировать эти действия и события.
Брандмауэр Windows имеет несколько отличных возможностей, но одна из наиболее часто упускаемых – его возможность логгировать события. Чтобы получить доступ к параметрам этой функций, нажмите кнопку Пуск -> Выполнить -> и введите «firewall.cpl» и нажмите кнопку ОК. После этого перейдите на вкладку Дополнительно и нажмите кнопку «Настройка» в разделе «Ведение журнала безопасности».
Эта область дает вам несколько вариантов работы, связанных с подсистемой протоколирования. Вы можете указать, хотите вы или нет, чтобы логировались все пропущенные пакеты (т.е., блокированные брандмауэром), записывались успешные соединения (т.е., прошедшие через межсетевой экран), либо и то и то. Вы также можете указать местоположение файла журнала, который по умолчанию лежит в C:\Windows\pfirewall.log. Вы можете хранить эти файлы локально или на сетевом диске для быстрого доступа к нескольким файлам журналов брандмауэра с несколькик компьютеров. Наконец, вы также можете установить максимальный размер файла журнала. После внесения изменений, вы можете нажать OK и лог затем будет включен.
Лог-файлы созданные брандмауэром Windows могут оказаться вашими спасителями, особенно когда у вас есть подозрения о наличии злонамеренных действий против вашего компьютера из сети.
