14Sep
Interneto srauto filtravimo procese visos ugniasienės turi tam tikrą įrašymo funkciją, pagal kurią užfiksuojama, kaip ugniasienė tvarko įvairius srauto tipus.Šie žurnalai gali suteikti vertingos informacijos, tokios kaip šaltinio ir paskirties IP adresai, prievadų numeriai ir protokolai. Taip pat galite naudoti "Windows" užkardos žurnalo failą, kad stebėtumėte TCP ir UDP jungtis bei paketus, kuriuos užkarda užkarda.
Kodėl ir kada ugniasienės registravimas yra naudingas - Norėdami patikrinti, ar naujai įdiegtos ugniasienės taisyklės veikia tinkamai, arba jas derinti, jei jie neveikia, kaip tikėtasi.
- Norėdami nustatyti, ar "Windows" ugniasienė yra priežastis, dėl kurios buvo nesėkmingos programos. Su užkardos registravimo funkcija galite patikrinti išjungtas prievadų angas, dinamines prievadų angas, analizuoti nukritusius paketus su tiesioginiais ir skubiais vėliavomis ir analizuoti nukritusius paketus siuntimo keliu.
- . Padėti ir nustatyti kenkėjišką veiklą. Naudodami užkardos registravimo funkciją, galite patikrinti, ar bet kokia kenkėjiška veikla įvyko jūsų tinkle, ar ne, nors jūs turite prisiminti, kad ji nepateikia informacijos, reikalingos veiklos šaltiniui atsekti.
- Jei pastebėjote, kad iš vieno IP adreso( arba IP adresų grupės) kartojasi nesėkmingi bandymai pasiekti ugniasienę ir( arba) kitas aukšto lygio sistemas, galbūt norėsite parašyti taisyklę, kad pašalintumėte visus ryšius iš tos IP vietos( įsitikinkite, kadIP adresas nėra suklastotas).
- Išeinantys ryšiai iš vidinių serverių, tokių kaip žiniatinklio serveriai, gali būti nuoroda, kad kažkas naudoja jūsų sistemą, kad paleistų išpuolius prieš kompiuterius, esančius kituose tinkluose.
Kaip kurti žurnalo failą
Numatyta, kad žurnalo failas yra išjungtas, tai reiškia, kad žurnalo failui nėra jokios informacijos. Norėdami sukurti žurnalo failą, paspauskite "Win key + R", kad atidarytumėte langą "Run".Įveskite "wf.msc" ir paspauskite "Enter".Pasirodys ekranas "Windows ugniasienė su pažangia sauga".Dešinėje ekrano pusėje spustelėkite "Ypatybės".
Parodomas naujas dialogo langas. Dabar spustelėkite skirtuką "Privatus profilis" ir pasirinkite "Tinkinti" skyriuje "Žurnalas".
Atsidarys naujas langas ir iš šio ekrano pasirinkite maksimalų žurnalo dydį, vietą ir tai, ar įrašyti tik nukritusius paketus, sėkmingą ryšį ar abu. Paketinis paketas yra paketas, kurį "Windows" ugniasienė užblokavo. Sėkmingas ryšys reiškia tiek gaunamus ryšius, tiek bet kokį ryšį, kurį atlikote per internetą, tačiau tai ne visada reiškia, kad įsibrovėlis sėkmingai prijungtas prie jūsų kompiuterio.
Pagal numatytuosius nustatymus "Windows" užkarda įrašo žurnalo įrašus į% SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log ir saugo tik paskutinius 4 MB duomenų.Daugelyje gamybos aplinkų šis žurnalas bus nuolat įrašomas į jūsų standųjį diską, o jei pakeisite failo dydžio apribojimą( norėdami užregistruoti veiklą ilgą laiką), tai gali sukelti našumą.Dėl šios priežasties turėtumėte įjungti tik tada, kai aktyviai trikdėte problemą, tada nedelsdami išjunkite prisijungimą, kai baigsite.
Toliau spustelėkite "Viešojo profilio" skirtuką ir kartokite tuos pačius veiksmus, kuriuos atlikote skirtuke "Asmeninis profilis".Dabar esate įjungę privačių ir viešųjų tinklo jungčių žurnalą.Žurnalo failas bus sukurtas W3C pratęsto žurnalo formatu( .log), kurį galėsite išnagrinėti naudodami pasirinktą teksto redaktorių arba importuoti į skaičiuoklę.Vienoje žurnalo faile gali būti tūkstančiai teksto įrašų, taigi, jei jūs skaitote juos naudodami Notepad, tada išjunkite žodžių apvyniojimą, kad išsaugotumėte stulpelių formatavimą.Jei peržiūrėjote žurnalo failą skaičiuoklėje, visi laukai logiškai bus rodomi stulpeliuose, kad būtų lengviau juos analizuoti.
Ekrane esančiame pagrindiniame "Windows ugniasiene su pažangia sauga" slinkite žemyn, kol pamatysite nuorodą "Stebėjimas".Išsamios informacijos srityje, esančiame dalyje "Logging Settings", spustelėkite failo kelią šalia "File Name". Žurnalas atsidaro Notepad.
"Windows" ugniasienės žurnalo
interpretavimas"Windows" ugniasienės saugos žurnale yra du skyriai. Antraštėje pateikiama statiška aprašoma informacija apie žurnalo versiją ir galimus laukus. Kūrinio žurnalas yra surinkti duomenys, kurie įvedami dėl srauto, kuris bando kirsti ugniasienę.Tai yra dinamiškas sąrašas, o žurnalo apačioje pasirodo nauji įrašai. Laukai yra parašyti iš kairės į dešinę per visą puslapį.(-) naudojamas, kai laukui nėra įrašo.
Pagal "Microsoft Technet" dokumentaciją žurnalo failo antraštė yra:
Version - Rodo, kuri Windows užkardos saugos žurnalo versija įdiegta.
Software - Rodo programinės įrangos, kuriančios žurnalą, pavadinimą.
Laikas - rodo, kad visa žurnale esanti laiko žymė yra vietos laiku.
laukai - Rodo laukų sąrašą, kuris yra prieinamas saugos žurnalo įrašams, jei yra duomenų.
Nors žurnalo rinkmenos kūnas yra:
data - laukas datos nurodo datą formatu MMMM-MM-DD.
laikas - vietinis laikas rodomas žurnalo faile naudojant formatą HH: MM: SS.Valandos nurodomos 24 valandų formatu.
veiksmas - Kadangi ugniasienė apdoroja srautą, užregistruoti tam tikri veiksmai.Įregistruoti veiksmai yra DROP, norint nutraukti ryšį, OPEN atidaryti ryšį, CLOSE užmegzti ryšį, OPEN-INBOUND, skirtą vietiniam kompiuteriui atidarytam prisijungimui, ir INFO-EVENTS-LOST įvykiams, apdorotiems Windows užkardos, tačiausaugumo žurnale nebuvo įrašyti.
protokolas - naudojamas protokolas, pvz., TCP, UDP ar ICMP.
src-ip - Rodo šaltinio IP adresą( kompiuterio, bandančio užmegzti ryšį, IP adresas).
dst-ip - parodo bandymo prisijungti paskirties IP adresą.
src-port - siuntimo kompiuterio, iš kurio bandyta prisijungti, numeris.
dst-port - uostas, į kurį siunčiantis kompiuteris bandė užmegzti ryšį.
dydis - rodo paketų dydį baitais.
tcpflags - Informacija apie TCP valdymo langelius TCP antraštėse.
tcpsyn - rodo paketo TCP sekos numerį.
tcpack - rodo paketo TCP patvirtinimo numerį.
tcpwin - parodo TCP lango dydį, baitais, paketą.
icmptype - informacija apie ICMP pranešimus.
icmpcode - informacija apie ICMP pranešimus.
info - parodo įrašą, kuris priklauso nuo įvykio tipo.
kelias - parodo komunikacijos kryptį.Galimos parinktys yra "SEND", "GAVĖJO", "FORWARD" ir "UNKNOWN".
Kaip pastebėjote, žurnalo įrašas iš tiesų yra didelis ir gali turėti iki 17 informacijos, susijusios su kiekvienu įvykiu. Tačiau bendrajai analizei svarbūs tik pirmieji aštuonios informacijos dalys. Dabar galite išsiaiškinti, kokia informacija yra apie kenkėjišką veiklą ar atkūrimo programos gedimus.
Jei įtariate bet kokią kenkėjišką veiklą, atidarykite žurnalo failą "Notepad" ir filtruokite visus žurnalo įrašus su DROP veiksmo lauke ir pažymėkite, ar paskirties IP adresas baigiamas ne 255 numeriu. Jei rasite daug tokių įrašų, tadaatkreipkite dėmesį į paketų paskirties IP adresus. Baigę trikčių šalinimą, galite išjungti ugniasienės registravimą.
Problemos, susijusios su tinklo trikčių šalinimu, kartais gali būti gana pavojingos, o rekomenduojama gera praktika, kai "Windows" ugniasienė yra trikčių šalinimas. Nors "Windows" ugniasienės žurnalo failas nėra naudingas bendram tinklo saugumui analizuoti, vis tiek išlieka gera praktika, jei norite stebėti, kas vyksta už scenų.