Брандмауэр Windows в режиме повышенной безопасности можно настроить на регистрацию событий, указывающих как на успешное выполнение, так и на сбои его процессов. Параметры ведения журнала делятся на две группы: параметры самого файла журнала и параметры, определяющие события, записываемые в файле. Для каждого профиля брандмауэра параметры настраиваются отдельно.
Можно указать место создания файла журнала, его максимальный размер, а также будут ли в файл журнала записываться данные об отброшенных пакетах, успешных подключениях или и то и другое.
Чтобы открыть это диалоговое окно |
-
В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» в разделе Обзор выберите пункт Свойства брандмауэра Windows.
-
Перейдите на вкладку, соответствующую тому профилю брандмауэра, для которого необходимо настроить ведение журнала.
-
В области Ведение журнала нажмите кнопку Настроить.
Имя
Введите путь и имя файла, в который брандмауэр Windows будет записывать информацию. При настройке объекта групповой политики для внедрения на нескольких компьютерах используйте доступные переменные среды, например %windir%, чтобы гарантировать правильность пути на каждом компьютере в сети.
Простое указание расположения файла недостаточно для начала ведения журнала. Также необходимо установить один из двух флажков для протоколирования отброшенных пакетов или успешных подключений.
Важно! | |
Если настройки параметров выполняются для компьютера, работающего под управлением Windows Vista или более поздней версии Windows, и указываемое расположение отличается от расположения по умолчанию, необходимо убедиться, что служба брандмауэра Windows имеет разрешение на запись по этому пути. |
Предоставление службе брандмауэра Windows разрешения на запись в каталог файла журнала |
-
Перейдите в папку, которая была определена для хранения файла журнала, щелкните правой кнопкой мыши и выберите пункт Свойства.
-
На вкладке Безопасность нажмите кнопку Изменить.
-
Нажмите кнопку Добавить, в поле Введите имена выбираемых объектов укажите NT SERVICE\mpssvc и нажмите кнопку OK.
-
В диалоговом окне Разрешения проверьте, что MpsSvc имеет право на Запись и нажмите кнопку OK.
Предельный размер файла журнала
Укажите максимальный размер, до которого может вырасти файл журнала. Это значение должно быть в диапазоне от 1 до 32 767 КБ.
При достижении предельного размера Брандмауэр Windows в режиме повышенной безопасности закрывает файл журнала и переименовывает его, добавляя в конец имени файла «.old». Затем он создает и использует новый файл журнала, у которого будет исходное имя файла журнала. Одновременно хранятся только два файла. Если второй файл также достигает максимального размера, то он переименовывается путем добавления «.old», а первоначальный файл «.old» удаляется.
Записывать в журнал отброшенные пакеты.
Фиксировать в журнале, когда Брандмауэр Windows в режиме повышенной безопасности по какой-либо причине отклоняет входящий пакет. Журнал будет содержать запись о том, когда и почему был отброшен пакет. Эти записи помечаются словом СБРОС в столбце журнала Действие.
Записывать в журнал успешные подключения.
Фиксировать в журнале, когда Брандмауэр Windows в режиме повышенной безопасности разрешает входящее подключение. Журнал будет содержать запись о том, когда и почему было сформировано подключение. Эти записи помечаются словом РАЗРЕШИТЬ в столбце журнала Действие.
Журнал событий
Операционный журнал событий Брандмауэр Windows в режиме повышенной безопасности - другой ресурс, который можно использовать для просмотра изменения политик брандмауэра Windows. Операционный журнал всегда активен и содержит события как для правил брандмауэра, так и для правил безопасности подключения.
Просмотр журнала событий брандмауэра Windows в режиме повышенной безопасности |
-
Откройте окно «Просмотр событий». Нажмите кнопку Пуск, выберите пункт Администрирование, а затем - Просмотр событий.
-
В области навигации последовательно разверните узлы Журналы приложений и служб, Microsoft, Windows и Брандмауэр Windows в режиме повышенной безопасности.
-
Щелкните ConnectionSecurity, ConnectionSecurityVerbose, Firewall или FirewallVerbose. Журналы, отмеченные как «подробный» по умолчанию не включены. Чтобы включить их, в области Действия, щелкните Включить журнал.