Kodėl ir kada užkardos registravimas yra naudingas
- Norėdami patikrinti, ar naujai įdiegtos ugniasienės taisyklės tinkamai veikia, arba juos derinti, jei jie neveikia, kaip tikėtasi.
- Norėdami nustatyti, ar "Windows" ugniasienė yra priežastis, dėl kurios buvo nesėkmingos programos. Su užkardos registravimo funkcija galite patikrinti išjungtas prievadų angas, dinamines prievadų angas, analizuoti nukritusius paketus su tiesioginiais ir skubiais vėliavomis ir analizuoti nukritusius paketus ant siuntimo kelio.
- Padėti ir nustatyti kenkėjišką veiklą. Naudodami užkardos registravimo funkciją galite patikrinti, ar bet kokia kenkėjiška veikla įvyko jūsų tinkle, ar ne, nors jūs turite prisiminti, kad ji nepateikia informacijos, reikalingos veiklos šaltiniui atsekti.
- Jei pastebėjote, kad iš vieno IP adreso (arba IP adresų grupės) pakartotinai nesėkmingai bandote prisijungti prie ugniasienės ir (arba) kitų aukštųjų profilių sistemų, galbūt norėsite parašyti taisyklę, kad pašalintumėte visus ryšius iš šios IP vietos (įsitikinkite, kad IP adresas nėra suklastotas).
- Iš vidaus siunčiami prisijungimai iš vidinių serverių, pvz., Žiniatinklio serveriai, gali būti nuoroda, kad kažkas naudoja jūsų sistemą, kad paleistų išpuolius prieš kompiuterius, esančius kituose tinkluose.
Kaip kurti žurnalo failą
Pagal numatytuosius nustatymus žurnalo failas yra išjungtas, o tai reiškia, kad žurnalo failui nėra jokios informacijos. Norėdami sukurti žurnalo failą, paspauskite "Win key + R", kad atidarytumėte langą "Run". Įveskite "wf.msc" ir paspauskite "Enter". Pasirodys ekranas "Windows ugniasienė su pažangia sauga". Dešinėje ekrano pusėje spustelėkite "Ypatybės".
%SystemRoot%System32LogFilesFirewallPfirewall.log
ir saugo tik paskutinius 4 MB duomenų. Daugelyje gamybos aplinkų šis žurnalas bus nuolat įrašomas į jūsų standųjį diską, o jei pakeisite failo dydžio apribojimą (norėdami užregistruoti veiklą ilgą laiką), tai gali sukelti našumą. Dėl šios priežasties turėtumėte įjungti tik tada, kai aktyviai trikdėte problemą, tada nedelsdami išjunkite prisijungimą, kai baigsite.
Tada spustelėkite skirtuką "Viešasis profilis" ir kartokite tuos pačius veiksmus, kuriuos atlikote skirtuke "Asmeninis profilis". Dabar esate įjungę privačių ir viešųjų tinklo jungčių žurnalą. Žurnalo failas bus sukurtas W3C pratęsto žurnalo formatu (.log), kurį galėsite išnagrinėti naudodami pasirinktą teksto redaktorių arba importuoti į skaičiuoklę. Vienoje žurnalo faile gali būti tūkstančiai teksto įrašų, taigi, jei jūs skaitote juos naudodami Notepad, tada išjunkite žodžių apvyniojimą, kad išsaugotumėte stulpelių formatavimą. Jei peržiūrėjote žurnalo failą skaičiuoklėje, visi laukai logiškai bus rodomi stulpeliuose, kad būtų lengviau juos analizuoti.
Pagrindiniame ekrano "Windows ugniasienė su išplėstiniu saugumu" slinkite žemyn, kol pamatysite nuorodą "Stebėjimas". Išsamios informacijos srityje, esančiame dalyje "Logging Settings", spustelėkite failo kelią šalia "File Name". Žurnalas atsidaro Notepad.
"Windows" ugniasienės žurnalo interpretavimas
"Windows" užkardos saugos žurnalas yra du skyriai. Antraštėje pateikiama statiška aprašoma informacija apie žurnalo versiją ir galimus laukus. Žurnalo korpusas yra surinkti duomenys, kurie įvedami dėl srauto, bandančio peržengti ugniasienę. Tai yra dinamiškas sąrašas, o žurnalo apačioje pasirodo nauji įrašai. Laukai yra parašyti iš kairės į dešinę per visą puslapį. (-) naudojamas, kai laukui nėra įrašo.
Versija - Rodo, kuri Windows užkardos saugos žurnalo versija įdiegta. Programinė įranga. Parodo žurnalo sukurtos programinės įrangos pavadinimą. Laikas - rodo, kad visa žurnale esanti laiko žymė yra vietos laiku. Laukai - Rodo laukų sąrašą, kuris yra prieinamas saugos žurnalo įrašams, jei yra duomenų.
Nors žurnalo failo kūnas yra:
data - laukelyje "Data" nurodoma data formatu MMMM-MM-DD. laikas - vietinis laikas rodomas žurnalo failo formatu HH: MM: SS. Valandos nurodomos 24 valandų formatu. veiksmas - Kadangi ugniasienė apdoroja srautą, užregistruoti tam tikri veiksmai.Įregistruoti veiksmai yra DROP, norint nutraukti ryšį, OPEN atidaryti ryšį, CLOSE užmegzti ryšį, OPEN-INBOUND, skirtą vietiniam kompiuteriui atidarytam prisijungimui, ir INFO-EVENTS-LOST įvykiams, apdorotiems Windows užkardos, tačiau saugumo žurnale nebuvo įrašyti. protokolas - naudojamas protokolas, pvz., TCP, UDP arba ICMP. src-ip - Rodo šaltinio IP adresą (kompiuterio, bandančio užmegzti ryšį, IP adresas). dst-ip - parodo prisijungimo bandymo paskirties IP adresą. src-port - siuntimo kompiuterio, iš kurio bandyta prisijungti, numeris. dst-port - uostas, į kurį siunčiantis kompiuteris bandė užmegzti ryšį. dydis - rodo paketų dydį baitais. tcpflags - Informacija apie TCP valdymo langelius TCP antraštėse. tcpsyn - parodo TCP sekos numerį paketą. tcpack - rodo paketo TCP patvirtinimo numerį. tcpwin - Rodo TCP lango dydį, baitais, paketu. icmptype - Informacija apie ICMP pranešimus. icmpcode - Informacija apie ICMP pranešimus. info - parodo įrašą, kuris priklauso nuo įvykdyto veiksmo tipo. kelias - parodo komunikacijos kryptį. Galimos parinktys yra "SEND", "GAVĖJO", "FORWARD" ir "UNKNOWN".
Kaip pastebėjote, žurnalo įrašas iš tiesų yra didelis ir gali turėti iki 17 informacijos, susijusios su kiekvienu įvykiu. Tačiau bendrajai analizei svarbūs tik pirmieji aštuonios informacijos dalys. Dabar galite išsiaiškinti, kokia informacija yra apie kenkėjišką veiklą ar atkūrimo programos gedimus.
Jei įtariate bet kokią kenkėjišką veiklą, atidarykite žurnalo failą "Notepad" ir filtruokite visus įrašus su DROP veiksmo lauke ir pažymėkite, ar paskirties IP adresas baigiamas ne 255 numeriu. Jei rasite daug tokių įrašų, tada paimkite paketų paskirties IP adresų pastaba. Baigę trikčių šalinimą, galite išjungti ugniasienės registravimą.
Gedimų šalinant tinklo problemas kartais gali būti nelengva, o rekomenduojama gera praktika, kai "Windows" ugniasienės trikčių šalinimas yra įjungti vietinius žurnalus. Nors "Windows" ugniasienės žurnalo failas nėra naudingas bendram tinklo saugumui analizuoti, vis tiek išlieka gera praktika, jei norite stebėti, kas vyksta už scenų.