Windows Güvenlik Duvarı Günlüğü ile Güvenlik Duvarı Etkinliği Nasıl İzlenir

İnternet trafiğini filtreleme sürecinde, tüm güvenlik duvarlarında, güvenlik duvarının çeşitli trafik türlerini nasıl yönettiğini belgeleyen bir günlük kaydı özelliği bulunur. Bu kayıtlar kaynak ve hedef IP adresleri, port numaraları ve protokoller gibi değerli bilgiler sağlayabilir. TCP ve UDP bağlantılarını ve güvenlik duvarı tarafından engellenen paketleri izlemek için Windows Güvenlik Duvarı günlük dosyasını da kullanabilirsiniz..

Güvenlik Duvarı Günlüğü Neden ve Ne Zaman Faydalı?

1. Yeni eklenen güvenlik duvarı kurallarının düzgün çalışıp çalışmadığını doğrulamak veya beklendiği gibi çalışmazsa bunları hata ayıklamak için.
2. Windows Güvenlik Duvarı'nın uygulama hatalarının nedeni olup olmadığını belirlemek için - Güvenlik Duvarı günlüğü özelliğiyle, devre dışı bırakılmış bağlantı noktası açıklıklarını, dinamik bağlantı noktası açıklıklarını kontrol edebilir, bırakılan paketleri itme ve acil bayraklarıyla analiz edebilir ve bırakılan paketleri gönderme yolunda analiz edebilirsiniz.
3. Kötü niyetli etkinliği belirlemek ve tanımlamak için - Güvenlik Duvarı günlüğü özelliğiyle, ağınızda herhangi bir kötü amaçlı etkinliğin olup olmadığını kontrol edebilirsiniz, ancak etkinliğin kaynağını izlemek için gereken bilgileri sağlamadığını unutmayın..
4. Güvenlik duvarınıza ve / veya diğer yüksek profilli sistemlerinize tek bir IP adresinden (veya bir grup IP adresinden) erişmeyi denemeyi başaramazsanız, o zaman tüm bağlantıları bu IP alanından bırakmak için bir kural yazmak isteyebilirsiniz (emin olun; IP adresi sahte değil).
5. Web sunucuları gibi dahili sunuculardan gelen bağlantılar, birisinin diğer ağlarda bulunan bilgisayarlara saldırı başlatmak için sisteminizi kullandığının bir göstergesi olabilir..

Günlük dosyası nasıl oluşturulur?

Varsayılan olarak, günlük dosyası devre dışı bırakılır, yani günlük dosyasına hiçbir bilgi yazılmaz. Bir günlük dosyası oluşturmak için Çalıştır kutusunu açmak için “Win ​​key + R” ye basın. “Wf.msc” yazın ve Enter'a basın “Gelişmiş Güvenlikli Windows Güvenlik Duvarı” ekranı görünür. Ekranın sağ tarafında “Özellikler” i tıklayın.

Yeni bir iletişim kutusu belirir. Şimdi “Özel Profil” sekmesine tıklayın ve “Günlük” bölümünde “Kişiselleştir” i seçin.

Yeni bir pencere açılır ve bu ekrandan maksimum günlük büyüklüğünüzü, konumunuzu ve yalnızca bırakılan paketlerin, başarılı bağlantıların veya her ikisinin de kaydedileceğini seçin. Bırakılan bir paket, Windows Güvenlik Duvarı'nın engellediği bir pakettir. Başarılı bir bağlantı, hem gelen bağlantılara hem de Internet üzerinden yaptığınız herhangi bir bağlantıya atıfta bulunur, ancak her zaman bir davetsiz misafirin bilgisayarınıza başarıyla bağlandığı anlamına gelmez.

Varsayılan olarak, Windows Güvenlik Duvarı günlük girdilerini yazdırabilir % SystemRoot% \ System32 \ LogFiles \ duvarı \ Pfirewall.log ve yalnızca son 4 MB veriyi depolar. Çoğu üretim ortamında, bu günlük, sabit diskinize sürekli olarak yazılır ve günlük dosyasının boyut sınırını değiştirirseniz (uzun bir süre boyunca etkinliği günlüğe kaydetmek için) performansın etkisine neden olabilir. Bu nedenle, yalnızca bir sorunu aktif olarak giderirken günlüğe kaydetmeyi etkinleştirmeli ve ardından işiniz bittiğinde günlüğü hemen devre dışı bırakmalısınız..

Ardından, "Genel Profil" sekmesini tıklayın ve "Özel Profil" sekmesi için yaptığınız adımları tekrarlayın. Hem özel hem de genel ağ bağlantıları için günlüğü açtınız. Günlük dosyası, seçtiğiniz bir metin düzenleyiciyle inceleyebileceğiniz veya bir elektronik tabloya aktarabileceğiniz W3C genişletilmiş günlük biçiminde (.log) oluşturulur. Tek bir günlük dosyası binlerce metin girişi içerebilir, bu nedenle Not Defteri ile okuyorsanız, sütun biçimlendirmesini korumak için sözcük kaydırmayı devre dışı bırakın. Günlük dosyasını bir elektronik tabloda görüntülüyorsanız, daha kolay analiz için tüm alanlar mantıksal olarak sütunlarda görüntülenir..

Ana “Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı” ekranında, “İzleme” bağlantısını görene kadar aşağı kaydırın. Ayrıntılar bölmesinde, “Günlük Ayarları” altında, “Dosya Adı” nın yanındaki dosya yolunu tıklayın. Günlük Not Defteri'nde açılır..

Windows Güvenlik Duvarı günlüğünü yorumlama

Windows Güvenlik Duvarı güvenlik günlüğü iki bölüm içerir. Başlık, günlüğün sürümü ve kullanılabilir alanlar hakkında statik, açıklayıcı bilgiler sağlar. Günlüğün gövdesi, güvenlik duvarını geçmeye çalışan trafik sonucu girilen derlenmiş verilerdir. Dinamik bir listedir ve yeni girişler günlüğün altında görünmeye devam eder. Alanlar sayfa boyunca soldan sağa doğru yazılır. (-), alan için uygun giriş olmadığında kullanılır..

Microsoft Technet belgelerine göre günlük dosyasının başlığı şunları içerir:

Sürüm - Windows Güvenlik Duvarı güvenlik günlüğünün hangi sürümünün yüklü olduğunu gösterir.
Yazılım - Günlüğü oluşturan yazılımın adını görüntüler..
Zaman - Günlükteki tüm zaman damgası bilgilerinin yerel zaman içinde olduğunu gösterir..
Alanlar - Veri varsa, güvenlik günlüğü girişleri için kullanılabilen alanların bir listesini görüntüler..

Günlük dosyasının gövdesi şunları içerirken:

date - Tarih alanı, YYYY-AA-GG biçimindeki tarihi tanımlar..
time - Yerel saat, günlük dosyasında HH: MM: SS formatını kullanarak görüntülenir. Saatlere 24 saat formatında başvuruluyor.
eylem - Güvenlik duvarı trafiği işlerken bazı eylemler kaydedilir. Kaydedilen eylemler bir bağlantıyı bırakmak için DROP, bir bağlantı açmak için AÇIK, bir bağlantıyı kapatmak için KAPALI, yerel bilgisayara açılan bir oturum için OPEN-INBOUND ve Windows Güvenlik Duvarı tarafından işlenen olaylar için INFO-EVENTS-LOST. güvenlik günlüğüne kaydedilmedi.
protokol - TCP, UDP veya ICMP gibi kullanılan protokol.
src-ip - Kaynak IP adresini görüntüler (iletişim kurmaya çalışan bilgisayarın IP adresi).
dst-ip - Bir bağlantı girişiminin hedef IP adresini görüntüler..
src-port - Bağlantının denendiği gönderen bilgisayardaki port numarası.
dst-port - Gönderen bilgisayarın bağlantı kurmaya çalıştığı port.
size - Paket boyutunu bayt olarak görüntüler..
tcpflags - TCP başlıklarındaki TCP kontrol bayrakları hakkında bilgi.
tcpsyn - Paketteki TCP sıra numarasını görüntüler..
tcpack - Paketteki TCP onay numarasını görüntüler..
tcpwin - Paketin içindeki TCP pencere boyutunu bayt olarak görüntüler.
icmptype - ICMP mesajları hakkında bilgi.
icmpcode - ICMP mesajları hakkında bilgi.
info - Gerçekleştirilen eylemin türüne bağlı bir girişi görüntüler..
yol - İletişimin yönünü görüntüler. Kullanılabilir seçenekler: GÖNDER, ALMA, İLERİ ve BİLİNMEYEN.

Fark ettiğiniz gibi, kayıt girişi gerçekten büyük ve her bir olayla ilgili 17 adede kadar bilgi bulunabilir. Ancak, genel analiz için sadece ilk sekiz bilgi parçası önemlidir. Elinizdeki ayrıntılarla, artık kötü amaçlı etkinlik bilgilerini analiz edebilir veya uygulama hatalarını ayıklayabilirsiniz..

Herhangi bir kötü amaçlı etkinlik olduğundan şüpheleniyorsanız, günlük dosyasını Not Defteri'nde açın ve eylem alanındaki DROP'lu tüm günlük girişlerini filtreleyin ve hedef IP adresinin 255 dışında bir sayı ile bitip bitmediğini not edin. paketlerin hedef IP adreslerini not edin. Sorunu gidermeyi tamamladığınızda, güvenlik duvarı günlüğünü devre dışı bırakabilirsiniz.

Ağ sorunlarını gidermek zaman zaman oldukça zor olabilir ve Windows Güvenlik Duvarı sorunlarını giderirken önerilen iyi bir uygulama yerel günlükleri etkinleştirmektir. Windows Güvenlik Duvarı günlük dosyası ağınızın genel güvenliğini analiz etmek için kullanışlı olmasa da, sahne arkasında neler olup bittiğini izlemek istiyorsanız hala iyi bir uygulama olmaya devam ediyor.