I processen att filtrera Internettrafik har alla brandväggar någon typ av loggfunktion som dokumenterar hur brandväggen hanterar olika typer av trafik. Dessa loggar kan ge värdefull information som käll- och destinations-IP-adresser, portnummer och protokoll. Du kan också använda loggfilen för Windows-brandväggen för att övervaka TCP- och UDP-anslutningar och paket som blockeras av brandväggen.

Varför och när brandväggsloggning är användbar

1. För att verifiera om nyinstallerade brandväggsregler fungerar korrekt eller att felsöka dem Om de inte fungerar som förväntat.
2. För att avgöra om Windows-brandväggen är orsaken till programfel. Med funktionen för brandväggsloggning kan du söka efter funktionshindrade portöppningar, dynamiska portöppningar, analysera tappade paket med tryck och snabbflaggor och analysera tappade paket på sändningsvägen.
3. För att hjälpa till och identifiera skadlig aktivitet - Med funktionen för brandväggen kan du kontrollera om skadlig aktivitet uppstår inom ditt nätverk eller inte, även om du måste komma ihåg det ger inte den information som behövs för att spåra ner aktiviteten.
4. Om du märker upprepade misslyckade försök att komma åt din brandvägg och / eller andra högprofilssystem från en IP-adress (eller en grupp IP-adresser), kanske du vill ha att skriva en regel för att släppa alla anslutningar från det IP-området (se till att IP-adressen inte spoofs).
5. Utgående kontakter som kommer från interna servrar som webbservrar kan vara en indikation på att någon använder ditt system för att starta attacker mot datorer som finns på andra nätverk.

Så här skapar du loggfilen

Som standard är loggfilen inaktiverad, vilket innebär att ingen information skrivs till loggfilen. För att skapa en loggfil tryck "Win key + R" för att öppna rutan Kör. Skriv "wf.msc" och tryck på Enter. Skärmen "Windows Firewall med avancerad säkerhet" visas. På höger sida av skärmen klickar du på "Egenskaper".

En ny dialogruta visas. Nu klickar du på fliken "Privat profil" och väljer "Anpassa" i "Registreringsavsnittet".

Ett nytt fönster öppnas och från den skärmen väljer du din maximala loggstorlek, plats och om du bara loggar in förlorade paket, framgångsrik anslutning eller både. Ett tappat paket är ett paket som Windows Firewall har blockerat. En lyckad anslutning avser både inkommande anslutningar och alla anslutningar du har gjort via Internet, men det betyder inte alltid att en inkräktare har anslutit sig till din dator.

Som standard skriver Windows-brandväggen in loggposter till% SystemRoot% System32 LogFiles Firewall Pfirewall.logoch lagrar endast de senaste 4 MB data. I de flesta produktionsmiljöer skrivs den här loggen ständigt till hårddisken och om du ändrar storleksgränsen för loggfilen (för att logga aktivitet över en längre tid) kan det få en prestationspåverkan. Av den anledningen bör du bara aktivera loggning när du aktivt felsöker ett problem och sedan omedelbart inaktivera loggningen när du är klar.

Klicka sedan på fliken "Offentlig profil" och upprepa samma steg som du gjorde för fliken "Privat profil" . Du har nu aktiverat loggen för både privata och offentliga nätverksanslutningar. Loggfilen skapas i ett W3C-utvidgat loggformat (.log) som du kan undersöka med en textredigerare efter eget val eller importera dem till ett kalkylblad. En enda loggfil kan innehålla tusentals textposter, så om du läser dem genom anteckningsblocket, avaktivera du sedan ordförpackning för att behålla kolonnformatering. Om du tittar på loggfilen i ett kalkylblad kommer alla fält att visas logiskt i kolumner för enklare analys.

På huvudskärmen "Windows Firewall och Advanced Security", bläddra ned tills du ser länken "Övervakning". I fönstret Detaljer, under "Logga in inställningar", klicka på filvägen bredvid "Filnamn". Loggen öppnas i Anteckningar.

Tolkning av Windows-brandväggen

Windows Firewall-säkerhetsloggen innehåller två avsnitt. Rubriken ger statisk, beskrivande information om versionen av loggen och fälten tillgängliga. Loggens kropp är den sammanställda data som anges som en följd av trafik som försöker korsa brandväggen. Det är en dynamisk lista, och nya poster visas fortfarande längst ner i loggen. Fälten skrivs från vänster till höger på sidan. (-) används när det inte finns någon post tillgänglig för fältet.

Enligt Microsoft Technet-dokumentationen innehåller loggfilens huvud:

Version - Visar vilken version av säkerhetsloggen för Windows Firewall som är installerad.
Programvara - Visar namnet på programvaran som skapar loggen.
Tid - Indikerar att all tidstämpelinformation i loggen befinner sig i lokal tid.
Fält - Visar en lista med fält som är tillgängliga för säkerhetslogg poster, om data finns tillgängligt.

Medan loggfilens kropp innehåller:

datum - Datumfältet identifierar datumet i formatet ÅÅÅÅ-MM-DD.
Tid - Den lokala tiden visas i loggfilen med formatet HH: MM: SS. Timmarna refereras i 24-timmarsformat.
åtgärd - Eftersom brandväggen behandlar trafik spelas vissa åtgärder. De loggade åtgärderna är DROP för att släppa en anslutning, OPEN för att öppna en anslutning, CLOSE för att stänga en anslutning, OPEN-INBOUND för en inkommande session öppnad för den lokala datorn och INFO-EVENTS-LOST för händelser som behandlas av Windows Firewall, men
protokollet - Det protokoll som används som TCP, UDP eller ICMP.
src-ip - Visar källans IP-adress (datorns IP-adress försöker upprätta kommunikation).
dst-ip - Visar destinationens IP-adress för ett anslutningsförsök.
src-port - Portnumret på den sändande datorn från vilken anslutningen försökt.
dst-port - Porten till vilken
tcpflags - Information om TCP-kontrollflaggor i TCP-headers.
tcpsyn - Visar TCP-sekvensnumret i paketet.
Storlek - Visar paketstorlek i byte.
tcpack - Visar TCP-kvittensnumret i paketet.
tcpwin - Visar TCP w
icmpcode - Information om ICMP-meddelanden.
icmpcode - Information om ICMP-meddelanden.
info - Visar en post som beror på vilken typ av åtgärd som inträffade.
sökväg - Visar kommunikationsriktningen. De tillgängliga alternativen är SEND, RECEIVE, FORWARD och UNKNOWN.

Som du märker är loggposten verkligen stor och kan ha upp till 17 bitar av information som är associerade med varje händelse. Dock är endast de första åtta informationsstyckena viktiga för allmän analys. Med detaljerna i din hand kan du nu analysera informationen för skadlig aktivitet eller felsöka programfel.

Om du misstänker någon skadlig aktivitet öppnar du loggfilen i Anteckningar och filtrerar alla loggposter med DROP i åtgärdsfältet och notera om destinationsadressens IP-adress slutar med ett annat nummer än 255. Om du hittar många sådana poster, notera du sedan paketens mål-IP-adresser. När du har slutfört felsökning av problemet kan du inaktivera brandväggen.

Felsökning av nätverksproblem kan vara ganska skrämmande ibland och en rekommenderad bra praxis när felsökning av Windows-brandväggen är att aktivera de inbyggda loggarna. Även om loggfilen för Windows-brandväggen inte är användbar för att analysera den övergripande säkerheten i ditt nätverk, är det fortfarande en bra metod om du vill övervaka vad som händer bakom kulisserna.

Om du håller på att uppdatera Windows 7, gör du att det inte behövs någon antivirusprogram?

Om du är ny på datorer kanske du undrar om det är verkligen nödvändigt att ha antivirusprogramvara om du fortsätter att uppdatera ditt system. Är uppdateringar ensamma för att hålla ett system säkert? Dagens SuperUser Q & A-post diskuterar situationen för att hjälpa en ny datoranvändare att fatta det rätta beslutet.

(how-to)

Så här väljer du vilken Apps Update först i IOS 10

Har du någonsin laddat ner eller uppdaterat många appar på en gång, så insåg du plötsligt att du måste använda någon av dessa appar? IOS 10 har en ny liten funktion som du gillar: du kan nu prioritera en nedladdningsbar app så att den hoppar längst fram i raden. Om du har appar som ska uppdateras automatiskt på din iOS-enhet, har du förmodligen vunnit " Det finns inte en massa apps som uppdateras samtidigt mycket ofta.

(how-to)