14Sep

كيفية تتبع نشاط جدار الحماية مع سجل جدار حماية ويندوز

في عملية تصفية حركة المرور على الإنترنت، تحتوي جميع جدران الحماية على نوع من ميزة التسجيل التي توثق كيفية تعامل جدار الحماية مع أنواع مختلفة من حركة المرور.يمكن أن توفر هذه السجلات معلومات قيمة مثل عناوين إب المصدر والمقصد وأرقام المنافذ والبروتوكولات.يمكنك أيضا استخدام ملف سجل جدار حماية ويندوز لمراقبة اتصالات تكب و أودب والحزم التي تم حظرها بواسطة جدار الحماية.

لماذا ومتى تسجيل جدار الحماية مفيد
  1. للتحقق من ما إذا كانت قواعد جدار الحماية المضافة حديثا تعمل بشكل صحيح أو لتصحيحها إذا كانت لا تعمل كما هو متوقع.
  2. لتحديد ما إذا كان جدار حماية ويندوز هو سبب فشل التطبيق - مع ميزة تسجيل جدار الحماية يمكنك التحقق من فتحات المنافذ المعطلة وفتحات المنافذ الحيوية وتحليل الحزم انخفض مع دفع والأعلام عاجلة وتحليل الحزم انخفض على مسار الإرسال.
  3. للمساعدة في تحديد النشاط الضار والتعرف عليه - باستخدام ميزة تسجيل الجدار الناري يمكنك التحقق مما إذا كان هناك أي نشاط ضار يحدث داخل شبكتك أم لا، على الرغم من أنه يجب عليك تذكر أنه لا يوفر المعلومات اللازمة لتعقب مصدر النشاط.
  4. إذا لاحظت محاولات فاشلة متكررة للوصول إلى جدار الحماية الخاص بك و / أو أنظمة أخرى رفيعة المستوى من عنوان إب واحد( أو مجموعة من عناوين إب)، فقد تحتاج إلى كتابة قاعدة لإسقاط جميع الاتصالات من مساحة إب هذه( تأكد منلا يتم خداع عنوان إب).
  5. يمكن أن تكون الاتصالات الصادرة من خوادم داخلية مثل خوادم الويب مؤشرا على أن شخصا ما يستخدم نظامك لشن هجمات ضد أجهزة الكمبيوتر الموجودة على شبكات أخرى.

كيفية إنشاء ملف السجل

بشكل افتراضي، يتم تعطيل ملف السجل، مما يعني أنه لم يتم كتابة أية معلومات إلى ملف السجل.لإنشاء ملف سجل اضغط على مفتاح "وين + R" لفتح المربع تشغيل.اكتب "wf.msc" واضغط على إنتر.تظهر شاشة "جدار حماية ويندوز مع الأمان المتقدم".على الجانب الأيمن من الشاشة، انقر فوق "خصائص".

يظهر مربع حوار جديد.الآن انقر فوق علامة التبويب "الملف الشخصي الخاص" وحدد "تخصيص" في "قسم التسجيل".

يفتح نافذة جديدة ومن تلك الشاشة اختيار الحد الأقصى لحجم السجل والموقع، وما إذا كان لتسجيل الحزم انخفض فقط، اتصال ناجح أو كليهما.الحزمة التي تم إسقاطها هي حزمة تم حظر جدار حماية ويندوز.يشير اتصال ناجح إلى كل من الاتصالات الواردة وكذلك أي اتصال قمت به عبر الإنترنت، ولكن هذا لا يعني دائما أن الدخيل قد وصل بنجاح إلى جهاز الكمبيوتر الخاص بك.

بشكل افتراضي، يكتب جدار حماية ويندوز إدخالات السجل إلى٪ سيستمروت٪ \ System32 \ لوغفيلز \ فيريوال \ Pfirewall.log ويخزن فقط 4 ميغابايت الأخيرة من البيانات.في معظم بيئات الإنتاج، سوف يكتب هذا السجل باستمرار إلى القرص الثابت الخاص بك، وإذا قمت بتغيير الحد الأقصى لحجم ملف السجل( لتسجيل النشاط على مدى فترة طويلة من الزمن) فإنه قد يتسبب في تأثير الأداء.لهذا السبب، يجب تمكين التسجيل فقط عند استكشاف الأخطاء وإصلاحها المشكلة بشكل فعال ثم تعطيل التسجيل فورا عند الانتهاء.

بعد ذلك، انقر فوق علامة التبويب "الملف الشخصي العام" وكرر نفس الخطوات التي فعلتها لعلامة التبويب "الملف الشخصي الخاص".لقد قمت الآن بتشغيل السجل لكل من اتصالات الشبكة الخاصة والعامة.سيتم إنشاء ملف السجل بتنسيق سجل موسع W3C( .log) يمكنك فحصه باستخدام محرر نص من اختيارك أو استيراده إلى جدول بيانات.يمكن أن يحتوي ملف سجل واحد على الآلاف من إدخالات النص، لذلك إذا كنت تقرأ لهم من خلال المفكرة ثم تعطيل التفاف كلمة للحفاظ على تنسيق العمود.إذا كنت تقوم بعرض ملف السجل في جدول بيانات فسيتم عرض جميع الحقول منطقيا في الأعمدة لتحليل أسهل.

في الشاشة الرئيسية "جدار حماية ويندوز مع الأمان المتقدم"، مرر لأسفل حتى ترى رابط "المراقبة".في جزء التفاصيل، ضمن "إعدادات التسجيل"، انقر فوق مسار الملف الموجود بجوار "اسم الملف". يفتح السجل في المفكرة.

تفسير سجل جدار حماية ويندوز

يحتوي سجل أمان جدار حماية ويندوز على قسمين.يوفر الرأس معلومات ثابتة وصفية حول إصدار السجل والحقول المتاحة.جسم السجل هو البيانات المجمعة التي تم إدخالها كنتيجة لحركة المرور التي تحاول عبور جدار الحماية.بل هو قائمة ديناميكية، وإدخالات جديدة تبقي الظهور في الجزء السفلي من السجل.تتم كتابة الحقول من اليسار إلى اليمين عبر الصفحة.يتم استخدام( -) عندما لا يكون هناك إدخال متاح للحقل.

وفقا لوثائق تكنيت ميكروسوفت يحتوي رأس ملف السجل على:

فيرسيون - يعرض أي إصدار من سجل أمان جدار حماية ويندوز مثبت.
سوفتوار - يعرض اسم البرنامج الذي يقوم بإنشاء السجل.
الوقت - يشير إلى أن كافة معلومات الطابع الزمني في السجل في الوقت المحلي.حقول
- يعرض قائمة الحقول المتوفرة لإدخالات سجل الأمان، إذا كانت البيانات متوفرة.

بينما يحتوي ملف ملف السجل على: تاريخ

- يحدد حقل التاريخ التاريخ بالتنسيق يي-مم-د.وقت
- يتم عرض التوقيت المحلي في ملف السجل باستخدام التنسيق ه: مم: سس.الساعات المشار إليها في تنسيق 24 ساعة.إجراء
- حيث يقوم جدار الحماية بمعالجة حركة المرور، يتم تسجيل إجراءات معينة.الإجراءات المسجلة هي دروب لإسقاط اتصال أوبين لفتح اتصال إغلاق لإغلاق اتصال أوبين-إنبوند جلسة عمل واردة مفتوحة إلى الكمبيوتر المحلي و إنفو-إيفنتس-لوست للأحداث التي تمت معالجتها بواسطة جدار حماية ويندوز، ولكنلم تسجل في سجل الأمن.بروتوكول
- البروتوكول المستخدم مثل تكب أو أودب أو إيمب.
سرك-إب - يعرض عنوان إب المصدر( عنوان إب الخاص بالكمبيوتر الذي يحاول إنشاء اتصال).
دست-إب - يعرض عنوان إب الوجهة لمحاولة اتصال.
سرك-بورت - رقم المنفذ على الكمبيوتر المرسل الذي تم محاولة الاتصال منه.
دست-بورت - المنفذ الذي كان الكمبيوتر المرسل يحاول إجراء اتصال به.حجم
- يعرض حجم الرزمة بالبايتات.
تكبلاغس - معلومات عن أعلام التحكم تكب في رؤوس تكب.
تكبسين - يعرض رقم تسلسل تكب في الحزمة.
تكباك - يعرض رقم إقرار تكب في الحزمة.
تكبوين - يعرض حجم نافذة تكب، في وحدات البايت، في الحزمة.
إيمبتيب - معلومات حول رسائل إيمب.
إمبكود - معلومات حول رسائل إيمب.
إنفو - يعرض إدخال يعتمد على نوع الإجراء الذي حدث.مسار
- يعرض اتجاه االتصال.الخيارات المتاحة هي إرسال، استقبال، إلى الأمام، و أننوين.

كما تلاحظ، إدخال السجل كبير بالفعل وقد يحتوي على 17 قطعة من المعلومات المرتبطة بكل حدث.ومع ذلك، فقط الثماني قطع الأولى من المعلومات هي مهمة للتحليل العام.مع التفاصيل في يدك الآن يمكنك تحليل المعلومات عن النشاط الخبيث أو التصحيح فشل التطبيق.

إذا كنت تشك في أي نشاط ضار، ثم قم بفتح ملف السجل في المفكرة وتصفية كافة إدخالات السجل مع دروب في حقل الإجراء ولاحظ ما إذا كان عنوان إب الوجهة ينتهي برقم غير 255. إذا وجدت العديد من هذه الإدخالات، ثمقم بتدوين عناوين إب الوجهة للحزم.بمجرد الانتهاء من تحري الخلل وإصلاحه المشكلة، يمكنك تعطيل تسجيل جدار الحماية.

يمكن أن تكون مشكلات شبكة استكشاف الأخطاء وإصلاحها شاقة جدا في بعض الأحيان وممارسة جيدة موصى بها عند استكشاف أخطاء جدار حماية ويندوز لتمكين السجلات الأصلية.على الرغم من أن ملف سجل جدار حماية ويندوز غير مفيد لتحليل الأمن الشامل للشبكة الخاصة بك، فإنه لا يزال ممارسة جيدة إذا كنت ترغب في مراقبة ما يحدث وراء الكواليس.