Hvorfor og når brannmurlogging er nyttig
- For å kontrollere om nye brannmurregler fungerer, eller for å feilsøke dem hvis de ikke fungerer som forventet.
- For å avgjøre om Windows-brannmur er årsaken til programfeil - Ved hjelp av brannmurloggfunksjonen kan du sjekke om deaktiverte portåpninger, dynamiske portåpninger, analyserer tapt pakker med push og presserende flagg og analyser tapt pakker på sendebanen.
- For å hjelpe og identifisere skadelig aktivitet - Ved hjelp av brannmurloggfunksjonen kan du sjekke om skadelig aktivitet forekommer i nettverket ditt eller ikke, selv om du må huske det ikke gir informasjonen som trengs for å spore opp kilden til aktiviteten.
- Hvis du oppdager gjentatte mislykkede forsøk på å få tilgang til brannmuren og / eller andre høyprofilerte systemer fra en IP-adresse (eller en gruppe IP-adresser), vil du kanskje skrive en regel for å slette alle tilkoblinger fra det IP-området (sørg for at IP-adressen blir ikke spoofed).
- Utgående forbindelser som kommer fra interne servere som webservere kan være en indikasjon på at noen bruker systemet ditt til å starte angrep mot datamaskiner som ligger på andre nettverk.
Slik genererer du loggfilen
Som standard er loggfilen deaktivert, noe som betyr at ingen informasjon er skrevet til loggfilen. For å opprette en loggfil trykk "Win key + R" for å åpne Run-boksen. Skriv "wf.msc" og trykk Enter. Skjermbildet "Windows Brannmur med avansert sikkerhet" vises. På høyre side av skjermen klikker du på "Egenskaper".
%SystemRoot%System32LogFilesFirewallPfirewall.log
og lagrer bare de siste 4 MB dataene. I de fleste produksjonsmiljøer vil denne loggen kontinuerlig skrive til harddisken din, og hvis du endrer størrelsesgrensen for loggfilen (for å logge aktivitet over en lengre periode), kan det føre til en ytelsespåvirkning. Av denne grunn bør du bare aktivere logging når du aktivt feilsøker et problem og deretter deaktivere logging umiddelbart når du er ferdig.
Deretter klikker du på kategorien "Offentlig profil" og gjentar de samme trinnene du gjorde for "Privat profil" -fanen. Du har nå slått på loggen for både private og offentlige nettverkstilkoblinger. Logfilen vil bli opprettet i et W3C utvidet loggformat (.log) som du kan undersøke med et tekstredigeringsprogram du ønsker, eller importere dem til et regneark. En enkelt loggfil kan inneholde tusenvis av tekstoppføringer, så hvis du leser dem gjennom Notisblokk, må du deaktivere ordpakke for å bevare kolonnformatering. Hvis du ser loggfilen i et regneark, vises alle felter logisk i kolonner for enklere analyse.
På hovedskjermbildet "Windows-brannmur med avansert sikkerhet", rull ned til du ser koblingen "Overvåking". I detaljruten, under "Logg innstillinger", klikker du på filbanen ved siden av "Filnavn". Loggen åpnes i Notisblokk.
Tolkning av Windows-brannmurloggen
Windows-brannmurens sikkerhetslogg inneholder to seksjoner. Overskriften gir statisk, beskrivende informasjon om versjonen av loggen og feltene som er tilgjengelige. Kroppen til loggen er de samlede dataene som er skrevet inn som et resultat av trafikk som prøver å krysse brannmuren. Det er en dynamisk liste, og nye oppføringer vises fortsatt nederst i loggen. Feltene er skrevet fra venstre til høyre over siden. (-) brukes når det ikke er noen oppføring tilgjengelig for feltet.
Versjon - Viser hvilken versjon av sikkerhetsloggen for Windows-brannmur som er installert. Programvare - Viser navnet på programvaren som lager loggen. Tid - Indikerer at all tidsstempelinformasjon i loggen er i lokal tid. Felt - Viser en liste over felt som er tilgjengelige for sikkerhetsloggoppføringer, hvis data er tilgjengelig.
Mens kroppens loggfil inneholder:
dato - Datafeltet identifiserer datoen i formatet ÅÅÅÅ-MM-DD. tid - Lokal tid vises i loggfilen ved hjelp av formatet HH: MM: SS. Timene er referert i 24-timers format. handling - Når brannmuren behandler trafikk, registreres visse handlinger.De loggede handlingene er DROP for å slippe en tilkobling, ÅPNE for å åpne en tilkobling, LUKK for å lukke en tilkobling, ÅPEN-INBOUND for en innkommende økt som er åpnet for den lokale datamaskinen, og INFO-EVENTS-LOST for hendelser behandlet av Windows-brannmuren, men ble ikke registrert i sikkerhetsloggen. protokoll - protokollen brukes som TCP, UDP eller ICMP. src-ip - Viser kilde-IP-adressen (IP-adressen til datamaskinen som forsøker å etablere kommunikasjon). dst-ip - Viser destinasjons-IP-adressen til et tilkoblingsforsøk. src-port - portnummeret på sendingsdatamaskinen der forbindelsen ble forsøkt. dst-port - Porten som sendte datamaskinen forsøkte å koble til. størrelse - Viser pakkestørrelsen i byte. tcpflags - Informasjon om TCP kontroll flagg i TCP headers. tcpsyn - Viser TCP-sekvensnummeret i pakken. tcpack - Viser TCP-bekreftelsesnummeret i pakken. tcpwin - Viser TCP-vinduets størrelse, i byte, i pakken. icmptype - Informasjon om ICMP-meldingene. icmpcode - Informasjon om ICMP-meldingene. info - Viser en oppføring som avhenger av hvilken type handling som skjedde. bane - Viser retningen for kommunikasjonen. Alternativene som er tilgjengelige, er SEND, MOTTAG, FREM, OG UNYTTET.
Som du legger merke til, er logginngangen virkelig stor og kan ha opptil 17 stykker informasjon knyttet til hver hendelse. Imidlertid er bare de første åtte delene av informasjon viktig for generell analyse. Med detaljene i hånden din kan du nå analysere informasjonen for skadelig aktivitet eller feilsøke programfeil.
Hvis du mistenker noe ondsinnet aktivitet, åpner du loggfilen i Notisblokk og filtrerer alle loggpostene med DROP i handlingsfeltet og merker om IP-adressen til destinasjonen slutter med et annet tall enn 255. Hvis du finner mange slike oppføringer, så ta et notat av pakkens mål-IP-adresser. Når du er ferdig med å feilsøke problemet, kan du deaktivere brannmurloggen.
Feilsøking av nettverksproblemer kan være ganske skremmende til tider og en anbefalt god praksis når feilsøking av Windows-brannmur er å aktivere de innfødte loggene. Selv om loggfilen for Windows-brannmur ikke er nyttig for å analysere den generelle sikkerheten til nettverket, er det fortsatt en god praksis hvis du vil overvåke hva som skjer bak kulissene.
