Firewall-activiteit volgen met het Windows Firewall-logboek

hoe-firewall-activiteit-met-de-windows-firewall-log foto te volgen

Tijdens het filteren van internetverkeer hebben alle firewalls een soort logboekfunctie die documenteert hoe de firewall verschillende soorten verkeer verwerkte. Deze logboeken kunnen waardevolle informatie bevatten, zoals bron- en bestemmings-IP-adressen, poortnummers en protocollen. U kunt ook het logbestand van Windows Firewall gebruiken om TCP- en UDP-verbindingen en pakketten te controleren die door de firewall worden geblokkeerd.

Waarom en wanneer Firewall-logboekregistratie nuttig is?

  1. Om te controleren of nieuw toegevoegde firewallregels correct werken of om fouten op te sporen als ze niet werken zoals verwacht.
  2. Om te bepalen of Windows Firewall de oorzaak is van toepassingsfouten — Met de Firewall-logboekfunctie kunt u controleren op uitgeschakelde poortopeningen, dynamische poortopeningen, verwijderde pakketten analyseren met push- en urgente vlaggen en verwijderde pakketten op het verzendpad analyseren.
  3. Om kwaadaardige activiteiten te helpen identificeren — Met de logboekfunctie van Firewall kunt u controleren of er schadelijke activiteiten plaatsvinden binnen uw netwerk of niet, hoewel u moet onthouden dat deze niet de informatie verschaft die nodig is om de bron van de activiteit op te sporen.
  4. Als u herhaaldelijk mislukte pogingen opmerkt om toegang te krijgen tot uw firewall en/of andere high-profile systemen vanaf één IP-adres (of groep IP-adressen), dan wilt u misschien een regel schrijven om alle verbindingen van die IP-ruimte te verbreken (zorg ervoor dat de IP-adres wordt niet vervalst).
  5. Uitgaande verbindingen die afkomstig zijn van interne servers, zoals webservers, kunnen een indicatie zijn dat iemand uw systeem gebruikt om aanvallen uit te voeren op computers op andere netwerken.

Hoe het logbestand te genereren

Het logbestand is standaard uitgeschakeld, wat betekent dat er geen informatie naar het logbestand wordt geschreven. Om een ​​logbestand aan te maken, drukt u op de Win-toets + R om het vak Uitvoeren te openen. Typ wf.msc en druk op Enter. Het scherm Windows Firewall met geavanceerde beveiliging verschijnt. Klik aan de rechterkant van het scherm op Eigenschappen.



hoe-firewall-activiteit-met-de-windows-firewall-log foto te volgen

Er verschijnt een nieuw dialoogvenster. Klik nu op het tabblad Privéprofiel en selecteer Aanpassen in de sectie Logboekregistratie.

hoe-firewall-activiteit-met-de-windows-firewall-log foto te volgen 3

Er wordt een nieuw venster geopend en vanuit dat scherm kiest u uw maximale loggrootte, locatie en of u alleen gedropte pakketten wilt loggen, een succesvolle verbinding of beide. Een verwijderd pakket is een pakket dat door Windows Firewall is geblokkeerd. Een succesvolle verbinding verwijst zowel naar inkomende verbindingen als alle verbindingen die u via internet hebt gemaakt, maar het betekent niet altijd dat een indringer met succes verbinding heeft gemaakt met uw computer.

hoe-firewall-activiteit-met-de-windows-firewall-log foto te volgen 4

Standaard schrijft Windows Firewall logboekvermeldingen naar |__+_| en slaat alleen de laatste 4 MB aan gegevens op. In de meeste productieomgevingen zal dit logboek constant naar uw harde schijf schrijven en als u de maximale grootte van het logboekbestand wijzigt (om activiteiten over een lange periode vast te leggen), kan dit een invloed hebben op de prestaties. Om deze reden moet u logboekregistratie alleen inschakelen wanneer u actief een probleem probeert op te lossen en vervolgens logboekregistratie onmiddellijk uitschakelen wanneer u klaar bent.

Klik vervolgens op het tabblad Openbaar profiel en herhaal dezelfde stappen als voor het tabblad Privéprofiel. U hebt nu het logboek ingeschakeld voor zowel privé- als openbare netwerkverbindingen. Het logbestand wordt aangemaakt in een W3C extended log-formaat (.log) dat u kunt bekijken met een teksteditor naar keuze of ze kunt importeren in een spreadsheet. Een enkel logbestand kan duizenden tekstinvoeren bevatten, dus als u ze leest via Kladblok, schakelt u de tekstterugloop uit om de kolomopmaak te behouden. Als u het logbestand in een spreadsheet bekijkt, worden alle velden logisch weergegeven in kolommen voor een eenvoudigere analyse.

Blader op het hoofdscherm van Windows Firewall met geavanceerde beveiliging naar beneden totdat u de koppeling Monitoring ziet. Klik in het detailvenster onder Instellingen voor logboekregistratie op het bestandspad naast Bestandsnaam. Het logboek wordt geopend in Kladblok.

hoe-firewall-activiteit-met-de-windows-firewall-log foto te volgen 5

Het Windows Firewall-logboek interpreteren

Het beveiligingslogboek van Windows Firewall bevat twee secties. De header biedt statische, beschrijvende informatie over de versie van het logboek en de beschikbare velden. De body van het logboek bestaat uit de gecompileerde gegevens die worden ingevoerd als gevolg van verkeer dat de firewall probeert te passeren. Het is een dynamische lijst en er verschijnen steeds nieuwe items onder aan het logboek. De velden zijn van links naar rechts over de pagina geschreven. De (-) wordt gebruikt wanneer er geen invoer beschikbaar is voor het veld.

hoe-firewall-activiteit-met-de-windows-firewall-log foto te volgen 6

Volgens de Microsoft Technet-documentatie bevat de header van het logbestand:

Versie — Geeft weer welke versie van het beveiligingslogboek van Windows Firewall is geïnstalleerd.
Software — Toont de naam van de software die het logboek maakt.
Tijd — Geeft aan dat alle tijdstempelinformatie in het logboek in lokale tijd is.
Velden — Geeft een lijst weer met velden die beschikbaar zijn voor invoer in het beveiligingslogboek, als er gegevens beschikbaar zijn.

Terwijl de hoofdtekst van het logbestand het volgende bevat:

datum — Het datumveld identificeert de datum in de notatie JJJJ-MM-DD.
tijd — De lokale tijd wordt weergegeven in het logbestand met de indeling HH:MM:SS. De uren worden weergegeven in 24-uurs formaat.
actie — Terwijl de firewall verkeer verwerkt, worden bepaalde acties vastgelegd. De geregistreerde acties zijn DROP voor het verbreken van een verbinding, OPEN voor het openen van een verbinding, CLOSE voor het sluiten van een verbinding, OPEN-INBOUND voor een inkomende sessie geopend op de lokale computer en INFO-EVENTS-LOST voor gebeurtenissen die worden verwerkt door de Windows Firewall, maar zijn niet opgenomen in het beveiligingslogboek.
protocol — Het gebruikte protocol, zoals TCP, UDP of ICMP.
src-ip — Geeft het bron-IP-adres weer (het IP-adres van de computer die probeert om communicatie tot stand te brengen).
dst-ip — Toont het bestemmings-IP-adres van een verbindingspoging.
src-port — Het poortnummer op de verzendende computer van waaruit de verbinding is gemaakt.
dst-port — De poort waarmee de verzendende computer verbinding probeerde te maken.
size — Toont de pakketgrootte in bytes.
tcpflags — Informatie over TCP-besturingsvlaggen in TCP-headers.
tcpsyn — Geeft het TCP-volgnummer in het pakket weer.
tcpack — Toont het TCP-bevestigingsnummer in het pakket.
tcpwin — Toont de grootte van het TCP-venster, in bytes, in het pakket.
icmptype — Informatie over de ICMP-berichten.
icmpcode — Informatie over de ICMP-berichten.
info — Geeft een item weer dat afhangt van het type actie dat heeft plaatsgevonden.
pad — Geeft de richting van de communicatie weer. De beschikbare opties zijn VERZENDEN, ONTVANGEN, DOORSTUREN en ONBEKEND.

Zoals je merkt, is de logboekinvoer inderdaad groot en kan tot 17 stukjes informatie bevatten die aan elke gebeurtenis zijn gekoppeld. Alleen de eerste acht stukjes informatie zijn echter belangrijk voor algemene analyse. Met de details in uw hand kunt u de informatie nu analyseren op kwaadaardige activiteiten of fouten in toepassingen opsporen.

Als u een kwaadaardige activiteit vermoedt, opent u het logbestand in Kladblok en filtert u alle loggegevens met DROP in het actieveld en merkt u op of het IP-adres van de bestemming eindigt met een ander nummer dan 255. Als u veel van dergelijke vermeldingen vindt, neem dan een notitie van de bestemmings-IP-adressen van de pakketten. Als u klaar bent met het oplossen van het probleem, kunt u de logboekregistratie van de firewall uitschakelen.

Het oplossen van netwerkproblemen kan soms behoorlijk ontmoedigend zijn en een aanbevolen goede gewoonte bij het oplossen van problemen met Windows Firewall is om de systeemeigen logboeken in te schakelen. Hoewel het logbestand van Windows Firewall niet handig is voor het analyseren van de algehele beveiliging van uw netwerk, blijft het toch een goede gewoonte als u wilt controleren wat er achter de schermen gebeurt.

Meer verhalen

Hoe u uw Always-On Raspberry Pi-downloadbox kunt automatiseren

We hebben u onlangs laten zien hoe u van uw Raspberry Pi een 24/7 energiezuinige downloadmachine kunt maken. Nu zijn we terug om u te laten zien hoe u het systeem bijna volledig hands-off kunt maken met geweldige automatiseringstools.

Ga rechtstreeks van uw Android-startscherm naar schermen in een app met snelkoppelingen naar activiteiten

Met Android kun je app-snelkoppelingen maken, maar je kunt ook speciale snelkoppelingen maken die rechtstreeks naar schermen binnen een app linken. Snelkoppelingen kunnen bijvoorbeeld verwijzen naar het navigatiescherm in Kaarten of een willekeurig scherm in de app Instellingen.

Wat is HTTPS en waarom zou het me iets kunnen schelen?

HTTPS, het slotpictogram in de adresbalk, een gecodeerde websiteverbinding - het staat bekend als veel dingen. Weten wat het betekent, is belangrijk, omdat het ernstige gevolgen heeft voor online bankieren, winkelen en het vermijden van phishing.

Geek Trivia: Onlangs zijn wiskundigen over de hele wereld gaan hamsteren?

Denk je het antwoord te weten? Klik door om te zien of je gelijk hebt!

Een Word-document openen als alleen-lezen

Als u een Word-document als alleen-lezen opent, voorkomt u dat onbedoelde wijzigingen die u in het document aanbrengt, worden opgeslagen. In de modus Alleen-lezen kunt u geen wijzigingen aanbrengen in het document, zodat u niet per ongeluk wijzigingen opslaat. We laten u zien hoe u een Word-document opent als alleen-lezen.

Een nieuwe, aangepaste pc bouwen zonder een schroevendraaier aan te raken

We houden ervan om onze eigen computers te bouwen, maar het kost nogal wat tijd. Als je graag bouwt maar merkt dat je geen tijd hebt, geeft een op maat gemaakte pc je nog steeds controle over je componenten, terwijl je de daadwerkelijke montage aan iemand anders overlaat.

Wat is de beste manier om twee computers met twee schermen te bedienen met één toetsenbord en muis?

Als u twee geweldige computers met twee monitoren hebt en gemakkelijk heen en weer wilt schakelen tussen beide met een enkel toetsenbord en muis, wat is dan de beste manier om dit aan te pakken? De SuperUser Q&A-post van vandaag biedt enkele geweldige suggesties voor de hemelse hardware-installatie van een lezer.

Geek Trivia: welke Amerikaanse munt is het meest kosteneffectief om te slaan?

Denk je het antwoord te weten? Klik door om te zien of je gelijk hebt!

Apple TV instellen om uw persoonlijke iTunes-bibliotheek af te spelen

Als je al veel muziek en homevideo's in je iTunes-bibliotheek hebt staan, kun je deze eenvoudig allemaal naar je Apple TV streamen, en dus naar welke uitgangsbronnen deze ook zijn aangesloten.

Een achtergrondafbeelding op uw Android-apparaat selecteren

Uw Android-apparaat werd geleverd met een standaardafbeelding die is ingesteld als achtergrond op het startscherm. Als u echter een andere afbeelding als achtergrond wilt, kunt u dit eenvoudig wijzigen. Er zijn verschillende afbeeldingen opgenomen in het Android-systeem of u kunt een van uw eigen afbeeldingen gebruiken.