логи брандмауэра windows 10
Включаем логирование в Windows Firewall
Если у вас есть подозрение, что встроенный брандмауэр Windows (Windows Firewall) может являться причиной неработоспособности приложения, не торопитесь его отключать. В брандмауэре есть возможность включить логирование и выяснить, в чем именно проблема.
Для этого открываем оснастку «Windows Firewall with Adwanced Security». Сделать это можно разными способами, самый быстрый — нажать Win+R и выполнить команду wf.msc. Затем кликаем правой кнопкой мыши по заголовку и в контекстном меню выбираем пункт «Properties».
В открывшемся окне выбираем вкладку с профилем (Domain, Private или Public), для которого надо включить логирование, затем в поле «Logging» жмем кнопку «Customize».
Указываем имя и расположение файла логов и задаем его максимальный размер. Выбираем, что именно логировать — Log dropped packets (только отброшенные пакеты) или Log successfully connections (удавшиеся подключения), жмем OK и идем смотреть логи.
Произвести настройку логирования можно и с помощью PowerShell. Например все предыдущие настройки производятся такой командой:
Ну а дальше дело техники — открываем лог, смотрим, что не нравится брандмауэру и создаем соответствующее правило. Это гораздо грамотнее и безопаснее, чем просто полностью его отключать.
Как диагностировать и исправить проблемы Брандмауэра Windows 10
Windows 10 включает несколько функций безопасности для поддержания безопасности компьютера и защиты данных от вредоносных программ и хакеров. Одной из таких функций является Брандмауэр Windows, который помогает предотвращать несанкционированный доступ к вашему компьютеру и блокировать потенциально вредоносные приложения.
Хотя в большинстве случае Брандмауэр работает стабильно и надежно, иногда вы можете столкнуться с проблемами. Например, возможен сбой запуска служб Брандмауэра или возникновение ошибки 80070424 или ошибки сервиса 5 (0x5). Кроме того, иногда приложения или функции, например, средство подключения к удаленному рабочему столу (Remote Assistant), могут потерять доступ к общим файлам и принтерам из-за ошибочной блокировки системным фаерволом.
Если вы наткнетесь на любую из этих или подобных проблем, вы предпринять несколько действий. Вы можете использовать инструмент “Устранение неполадок брандмауэра Windows”, который является автоматизированным средством сканирования и устранения распространенных проблем. Также доступен сброс настроек брандмауэра по умолчанию и ручное управление сетевым доступом приложений, заблокированным Брандмауэром.
Как исправить проблемы с Брандмауэром Windows 10
Чтобы диагностировать и устранить проблемы с Брандмауэром, используйте следующие шаги:
Если инструмент не смог исправить проблему, нажмите ссылку “Просмотреть дополнительные сведения”, чтобы ознакомится с подробной информацией обо всех проблемах, которые он пытался исправить, включая общий доступ к файлам и принтерам, проблемы с Remote Assistant и службами фаервола.
Затем вы можете найти дополнительную информацию о проблеме с помощью поисковых систем или обратиться за помощью в комментариях ниже.
Как сбросить настройки Брандмауэра Windows
Если средство устранения неполадок брандмауэра Windows не смогло обнаружить проблему, то скорее всего она связана с конкретным параметром в системе. В данном сценарии, вы можете попытаться удалить текущую конфигурацию и вернуть настройки по умолчанию.
Важно: после восстановления настроек по умолчанию, может потребоваться повторная настройка приложений, которые запрашивают доступ к сети через фаервол.
Чтобы вернуть настройки брандмауэра по умолчанию, проделайте следующие шаги:
Откройте панель управления (нажмите клавишу Windows и введите фразу “Панель управления”).
После того, как выполните эти шаги, будут восстановлены стандартные правила и настройки, и все проблемы конфигурации будут устранены.
Разрешаем доступ к сети через Брандмауэр
Если проблема заключается в ошибочной блокировке приложений, то вы можете использовать следующие шаги, чтобы разрешить доступ приложений к сети.
Совет: если приложения или функция не отображаются в списке, то нажмите кнопку “Разрешить другое приложение”, чтобы добавить его в список.
Вы можете использовать данную инструкцию, чтобы выполнить повторную настройку приложений после восстановление стандартных настроек Брандмауэра Windows.
Хотя в данном примере мы использовали Windows 10, вы можете использовать эти же инструкции для устранения проблем брандмауэра в Windows 8.1 и Windows 7.
Как отслеживать сетевую активность с помощью журналов Брандмауэра Windows
Если вы пользуетесь системой Windows, то скорее всего знаете о на наличии в ней встроенного брандмауэра. Возможно вы также умеете разрешать и блокировать доступ отдельных программ в сеть, чтобы контролировать входящий и исходящий трафик. Но знаете ли вы, что фаервол Windows может быть использован для регистрации всех проходящих через него соединений?
Журналы Брандмауэра Windows могут быть полезны при решении отдельных проблем:
Независимо от причин использования, включение протоколирования событий может быть сложной задачей, так как требует многих манипуляций с настройками. Приведем четкий алгоритм действий, как активировать регистрацию сетевой активности в фаерволе Windows.
Доступ к настройкам фаервола
Во-первых, нужно перейти к расширенным настройкам брандмауэра Windows. Откройте панель управления (клик правой кнопкой мыши по меню Пуск, опция “Панель управления”), затем нажмите ссылку “Брандмауэр Windows”, если стоит режим просмотра мелкие/крупные значки, либо выберите раздел “Система и безопасность”, а затем “Брандмауэр Windows”, если стоит режим просмотра категория.
В окне фаервола выберите опцию в левом навигационном меню “Дополнительные параметры”.
Вы увидите следующий экран настроек:
Доступ к настройкам журнала
Во-первых, выберите опцию “Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)”.
Кликните правой кнопкой мыши по ней и выберите опцию “Свойства”.
Откроется окно, которое может запутать пользователя. При выборе трех вкладок (Профиль домена, Частный профиль, Общий профиль) можно заметить, что их содержимое идентично, но относится к трем различным профилям, название которых указано в заголовке вкладки. На вкладке каждого профиля содержится кнопка настройки ведения журнала. Каждый журнал будет соответствовать отдельному профилю, но какой профиль используете вы?
Рассмотрим, что означает каждый профиль:
Если вы используете компьютер в домашней сети, перейдите на вкладку “Частный профиль”. Если используется публичная сеть, перейдите на вкладку “Общий профиль”. Нажмите кнопку “Настроить” в секции “Ведение журнала” на корректной вкладке.
Активация журнала событий
В открывшемся окне вы можете настроить расположение и максимальный размер журнала. Можно задать легко запоминающееся место для лога, но на самом деле локация файла журнала не имеет особо значения. Если вы хотите запустить регистрацию событий, в обоих выпадающих меню “Записывать пропущенные пакеты” и “Записывать успешные подключения” установите значение “Да” и нажмите кнопку “ОК”. Постоянная работа функции может привести к проблемам производительности, поэтому активируйте ее только когда действительно нужно выполнить мониторинг подключений. Для отключения функции логирования установите значение “Нет (по умолчанию)” в обоих выпадающих меню.
Изучение журналов
Теперь компьютер будет фиксировать сетевую активность, контролируемую фаерволом. Для того, чтобы просмотреть логи, перейдите в окно “Дополнительные параметры”, выберите опцию “Наблюдение” в левом списке, а затем в секции “Параметры ведения журнала” кликните ссылку “Имя файла”.
Затем откроется журнал сетевой активности. Содержимое журнала может запутать неопытного пользователя. Рассмотрим основное содержимое записей журнала:
Информация в журнале поможет выяснить причину проблем подключения. Журналы могут регистрировать и другую активность, например, целевой порт или номер подтверждения TCP. Если вам нужны подробности, ознакомьтесь со строкой “#Fields” в верхней части лога, чтобы идентифицировать значение каждого показателя.
Не забудьте отключить функцию ведения журнала после завершения работы.
Расширенная диагностика сети
С помощью использования журнала брандмауэра Windows, вы можете проанализировать типы данных, обрабатываемых на компьютере. Кроме того, можно установить причины проблем с сетью, связанные с работой фаервола или другими объектами, нарушающими соединения. Журнал активности позволяет ознакомиться с работой фаервола и получить четкое представление о происходящем в сети.
Настройка журнала брандмауэра Защитника Windows в режиме повышенной безопасности
Область применения
Чтобы настроить брандмауэр Защитника Windows в режиме повышенной безопасности для регистрации пропущенных пакетов или успешных подключений, используйте узел брандмауэра Защитника Windows в режиме повышенной безопасности в оснастке MMC управления групповой политикой.
Учетные данные администратора
Для выполнения этих процедур необходимо быть участником группы администраторов домена либо иметь делегированные разрешения на изменение объектов групповой политики.
Настройка журнала брандмауэра Защитника Windows в режиме повышенной безопасности
В области сведений в разделе Обзор щелкните Свойства брандмауэра Защитника Windows.
Для каждого типа сетевого расположения (домен, частный, общий) выполните следующие действия.
Щелкните вкладку, соответствующую типу сетевого расположения.
В разделе Ведение журнала нажмите Настроить.
Путь по умолчанию для журнала — %windir%\system32\logfiles\firewall\pfirewall.log. Если вы хотите изменить его, снимите флажок Не настроено и введите путь к новому расположению или нажмите Обзор, чтобы выбрать расположение файла.
Важно! В указываемом расположении должны быть назначены разрешения, позволяющие службе брандмауэра Защитника Windows вести записи в файле журнала.
По умолчанию максимальный размер файла журнала составляет 4096 килобайт (КБ). Если вы хотите изменить это значение, снимите флажок Не настроено и введите новый размер в килобайтах или используйте стрелки вверх и вниз, чтобы выбрать размер. Файл не превысит этот размер. При достижении ограничения, старые записи журнала удаляются, чтобы освободить место для вновь созданных.
Журнал не ведется, пока вы не настроите следующие два параметра.
Чтобы создавать запись журнала, когда брандмауэр Защитника Windows пропускает входящий сетевой пакет, установите для параметра Записывать пропущенные пакеты значение Да.
Чтобы создавать запись журнала, когда брандмауэр Защитника Windows разрешает входящее подключение, установите для параметра Записывать успешные подключения значение Да.
Щелкните дважды ОК.
Устранение неполадок с медленной обработкой журнала
Если журналы медленно отображаются в Sentinel, можно уменьшить размер файла журнала. Имейте в виду, что это приведет к увеличению использования ресурсов для ротации журнала.
Алгоритм работы с журналом брандмауэра Windows в режиме повышенной безопасности (включение, настройка и отключение)⚓︎
Источники⚓︎
Информация⚓︎
Максимальный размер файла журнала по умолчанию составляет 4096 КБ
Указанному расположению должны быть назначены разрешения, позволяющие службе брандмауэра Защитника Windows записывать в файл журнала
Запуск⚓︎
Нужно перейти к расширенным настройкам брандмауэра Windows:
Доступ к настройкам журнала⚓︎
Выберите опцию Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)
Профили⚓︎
Для подключения к беспроводной сети Wi-Fi, когда домен задается контроллером домена. Если вы не уверены, что это значит, лучше не используйте данный профиль
Для подключения к частным сетям, включая домашние или персональные сети — именно данный профиль вы скорее всего будете использовать
Для подключения к общественным сетям, включая сети ресторанов, аэропортов, библиотек и других учреждений
Если вы используете компьютер в сети
Активация журнала событий⚓︎
Если вы хотите запустить регистрацию событий, в обоих выпадающих меню Записывать пропущенные пакеты и Записывать успешные подключения установите значение Да и нажмите кнопку ОК
Для отключения функции логирования установите значение Нет (по умолчанию) в обоих выпадающих меню
Постоянная работа функции может привести к проблемам производительности, поэтому активируйте ее только когда действительно нужно выполнить мониторинг подключений
Изучение журналов⚓︎
Теперь компьютер будет фиксировать сетевую активность, контролируемую фаерволом.
Для того, чтобы просмотреть логи:
Затем откроется журнал сетевой активности. Содержимое журнала может запутать неопытного пользователя. Рассмотрим основное содержимое записей журнала:
Дата и время подключения⚓︎
Что произошло с подключением
| Статус | Описание |
|---|---|
| ALLOW | Фаервол разрешил подключение |
| DROP | Подключение было заблокировано фаерволом |
Если вы столкнулись с проблемами подключения к сети отдельной программы, то сможете точно определить, что причина проблемы связана с политикой брандмауэра
Тип подключения: TCP или UDP ⚓︎
Последняя запись позволяет выявлять порты, которые требуют открытия для работы ПО. Также следите за подозрительными подключениями — они могут быть совершены вредоносными программами
Был ли успешно отправлен или получен пакет данных⚓︎
Информация в журнале поможет выяснить причину проблем подключения
Журналы могут регистрировать и другую активность, например, целевой порт или номер подтверждения TCP
Если вам нужны подробности, ознакомьтесь со строкой #Fields в верхней части лога, чтобы идентифицировать значение каждого показателя
Не забудьте отключить функцию ведения журнала после завершения работы
Создание собственной оснастки⚓︎
Выполните следующие действия:
Перед тем как закрыть оснастку, сохраните консоль для дальнейшего использования
Устранение неполадок⚓︎
Если журналы медленно появляются в Sentinel, вы можете отключить размер файла журнала. Но это приведет к увеличению использования ресурсов