Брандмауэр Windows в режиме повышенной безопасности можно настроить на регистрацию событий, указывающих как на успешное выполнение, так и на сбои его процессов. Параметры ведения журнала делятся на две группы: параметры самого файла журнала и параметры, определяющие события, записываемые в файле. Для каждого профиля брандмауэра параметры настраиваются отдельно.

Можно указать место создания файла журнала, его максимальный размер, а также будут ли в файл журнала записываться данные об отброшенных пакетах, успешных подключениях или и то и другое.

Чтобы открыть это диалоговое окно
  1. В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» в разделе Обзор выберите пункт Свойства брандмауэра Windows.

  2. Перейдите на вкладку, соответствующую тому профилю брандмауэра, для которого необходимо настроить ведение журнала.

  3. В области Ведение журнала нажмите кнопку Настроить.

Имя

Введите путь и имя файла, в который брандмауэр Windows будет записывать информацию. При настройке объекта групповой политики для внедрения на нескольких компьютерах используйте доступные переменные среды, например %windir%, чтобы гарантировать правильность пути на каждом компьютере в сети.

Простое указание расположения файла недостаточно для начала ведения журнала. Также необходимо установить один из двух флажков для протоколирования отброшенных пакетов или успешных подключений.

Важно!

Если настройки параметров выполняются для компьютера, работающего под управлением Windows Vista или более поздней версии Windows, и указываемое расположение отличается от расположения по умолчанию, необходимо убедиться, что служба брандмауэра Windows имеет разрешение на запись по этому пути.

Предоставление службе брандмауэра Windows разрешения на запись в каталог файла журнала
  1. Перейдите в папку, которая была определена для хранения файла журнала, щелкните правой кнопкой мыши и выберите пункт Свойства.

  2. На вкладке Безопасность нажмите кнопку Изменить.

  3. Нажмите кнопку Добавить, в поле Введите имена выбираемых объектов укажите NT SERVICE\mpssvc и нажмите кнопку OK.

  4. В диалоговом окне Разрешения проверьте, что MpsSvc имеет право на Запись и нажмите кнопку OK.

Предельный размер файла журнала

Укажите максимальный размер, до которого может вырасти файл журнала. Это значение должно быть в диапазоне от 1 до 32 767 КБ.

При достижении предельного размера Брандмауэр Windows в режиме повышенной безопасности закрывает файл журнала и переименовывает его, добавляя в конец имени файла «.old». Затем он создает и использует новый файл журнала, у которого будет исходное имя файла журнала. Одновременно хранятся только два файла. Если второй файл также достигает максимального размера, то он переименовывается путем добавления «.old», а первоначальный файл «.old» удаляется.

Записывать в журнал отброшенные пакеты.

Фиксировать в журнале, когда Брандмауэр Windows в режиме повышенной безопасности по какой-либо причине отклоняет входящий пакет. Журнал будет содержать запись о том, когда и почему был отброшен пакет. Эти записи помечаются словом СБРОС в столбце журнала Действие.

Записывать в журнал успешные подключения.

Фиксировать в журнале, когда Брандмауэр Windows в режиме повышенной безопасности разрешает входящее подключение. Журнал будет содержать запись о том, когда и почему было сформировано подключение. Эти записи помечаются словом РАЗРЕШИТЬ в столбце журнала Действие.

Журнал событий

Операционный журнал событий Брандмауэр Windows в режиме повышенной безопасности - другой ресурс, который можно использовать для просмотра изменения политик брандмауэра Windows. Операционный журнал всегда активен и содержит события как для правил брандмауэра, так и для правил безопасности подключения.

Просмотр журнала событий брандмауэра Windows в режиме повышенной безопасности
  1. Откройте окно «Просмотр событий». Нажмите кнопку Пуск, выберите пункт Администрирование, а затем - Просмотр событий.

  2. В области навигации последовательно разверните узлы Журналы приложений и служб, Microsoft, Windows и Брандмауэр Windows в режиме повышенной безопасности.

  3. Щелкните ConnectionSecurity, ConnectionSecurityVerbose, Firewall или FirewallVerbose. Журналы, отмеченные как «подробный» по умолчанию не включены. Чтобы включить их, в области Действия, щелкните Включить журнал.

См. также