14Sep
İnternet trafiğini filtreleme sürecinde, tüm güvenlik duvarlarının güvenlik duvarı tarafından çeşitli trafik türlerini nasıl işlediğini belgeleyen bazı günlüğe kaydetme özelliği bulunur. Bu günlükler, kaynak ve hedef IP adresleri, bağlantı noktası numaraları ve protokoller gibi değerli bilgiler sağlayabilir. Güvenlik duvarıyla engellenen TCP ve UDP bağlantılarını ve paketlerini izlemek için Windows Güvenlik Duvarı günlük dosyasını da kullanabilirsiniz.
Neden ve Ne Zaman Firewall Günlüğü Yararlıdır - Yeni eklenen güvenlik duvarı kurallarının düzgün çalışıp çalışmadığını doğrulamak veya beklenildiği gibi çalışmazlarsa bunları ayıklamak için.
- Windows Güvenlik Duvarı'nın uygulama hatalarının nedeni olup olmadığını belirlemek için - Güvenlik Duvarı günlüğü özelliği ile, devre dışı bırakılmış bağlantı noktası açıklıklarını, dinamik bağlantı noktası açılışlarını kontrol edebilir, bırakılan paketleri itme ve acil durum bayrakları ile analiz edebilir ve gönderilen yolda atılan paketleri analiz edebilirsiniz.
- Kötü niyetli aktivitelere yardımcı olmak ve tanımlamak için - Güvenlik duvarı günlüğü özelliği ile, ağınızda herhangi bir kötü amaçlı etkinliğin olup olmadığını kontrol edebilirsiniz, ancak hatırlamanız gereken şey, etkinliğin kaynağını bulmak için gerekli bilgileri sağlamaz.
- Tek bir IP adresinden( veya bir IP adresi grubundan) güvenlik duvarınıza ve / veya diğer yüksek profil sistemlerine erişme girişimlerinin tekrar tekrar başarısız olduğunu fark ederseniz, o IP alanından tüm bağlantıları bırakmak için bir kural yazmak isteyebilirsinizIP adresi sahte değildir).
- Web sunucuları gibi dahili sunuculardan gelen giden bağlantılar, birisinin diğer ağlarda bulunan bilgisayarlara karşı saldırı başlatmak için sisteminizi kullandığının bir göstergesi olabilir.
Günlük Dosyası Nasıl Oluşturulur
Varsayılan olarak, günlük dosyası devre dışıdır; bu, günlük dosyasına hiçbir bilgi yazılmadığı anlamına gelir. Bir günlük dosyası oluşturmak için Çalıştır kutusunu açmak için "Win tuşu + R" ye basın."Wf.msc" yazın ve Enter tuşuna basın."Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı" ekranı açılır. Ekranın sağ tarafında, "Özellikler" i tıklayın.
Yeni bir iletişim kutusu görünür.Şimdi, "Özel Profil" sekmesini tıklayın ve "Günlük Kesitinde" "Özelleştir" i seçin.
Yeni bir pencere açılır ve bu ekrandan maksimum günlük boyutunuzu, konumunuzu ve yalnızca düşen paketleri, başarılı bağlantıyı veya her ikisini birden günlüğe kaydetmeyi seçebilirsiniz. Düşen paket, Windows Güvenlik Duvarı'nın engellediği bir pakettir. Başarılı bir bağlantı hem gelen bağlantılara hem de İnternet üzerinden yaptığınız tüm bağlantılara işaret eder, ancak her zaman bir saldırganın bilgisayarınıza başarıyla bağlandığı anlamına gelmez.
Varsayılan olarak, Windows Güvenlik Duvarı günlük girişlerini% SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log dosyasına yazar ve yalnızca son 4 MB'lık veriyi depolar.Çoğu üretim ortamında, bu günlük sabit diskinize sürekli yazacaktır ve günlük dosyasının boyut sınırını değiştirirseniz( etkinliği uzun bir süre boyunca günlüğe kaydetmek için) bir performansa neden olabilir. Bu nedenle, günlüğe kaydetmeyi yalnızca bir sorunu aktif bir şekilde gidermeye çalışırken etkinleştirmelisiniz ve işiniz bittiğinde hemen günlüğe kaydetmeyi devre dışı bırakmalısınız.
Daha sonra, "Herkese Açık Profil" sekmesini tıklayın ve "Özel Profil" sekmesi için yaptığınız adımları tekrarlayın.Şimdi, hem özel hem de genel ağ bağlantıları için günlüğü açtınız. Günlük dosyası, seçtiğiniz bir metin düzenleyicisiyle inceleyebileceğiniz veya bunları bir elektronik tabloya içe aktarabileceğiniz bir W3C genişletilmiş günlük formatı( .log) içinde oluşturulacaktır. Tek bir günlük dosyası binlerce metin girişi içerebilir; bu nedenle, bunları Not Defteri aracılığıyla okursanız, sütun biçimlendirmesini korumak için sözcük kaydırmayı devre dışı bırakın. Günlük dosyasını bir e-tabloda görüntülüyorsanız, daha kolay analiz için tüm alanlar mantıksal olarak sütunlar halinde gösterilir.
Ana "Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı" ekranında, "İzleme" bağlantısını görene kadar aşağı ilerleyin. Ayrıntılar bölmesinde, "Günlüğü Ayarları" altında, "Dosya Adı" yanındaki dosya yolunu tıklatın. Günlük, Not Defteri'nde açılır.
Windows Güvenlik Duvarı günlüğünün yorumlanması
Windows Güvenlik Duvarı güvenlik günlüğü iki bölüm içeriyor. Başlık, günlüğün sürümü ve mevcut alanlar hakkında statik, açıklayıcı bilgiler sağlar. Günlüğün gövdesi, güvenlik duvarını geçmeye çalışan trafik sonucunda girilen derlenmiş veridir. Dinamik bir listedir ve yeni kayıtlar günlüğün en altında görünmeye devam eder. Alanlar, sayfa boyunca soldan sağa doğru yazılır. Alan için herhangi bir giriş yoksa( -) kullanılır.
Microsoft Technet belgelerine göre günlük dosyasının başlığı şunları içerir:
Sürümü - Windows Güvenlik Duvarı güvenlik günlüğünün hangi sürümünün yüklü olduğunu görüntüler.
Yazılımı - Günlüğü oluşturan yazılımın adını görüntüler.
Time - Günlükteki tüm zaman damgası bilgisinin yerel saatte olduğunu gösterir.
Fields - Veri mevcutsa, güvenlik günlüğü girdileri için kullanılabilen alanların bir listesini görüntüler.
Günlük dosyasının gövdesi şunları içeriyor:
tarihi - Tarih alanı, tarihi YYYY-AA-GG biçiminde tanımlar.
süresi - Yerel saat, HH: MM: SS biçimini kullanarak günlük dosyasında görüntülenir. Saatler 24 saat formatındadır.
eylemi - Güvenlik duvarının trafiği işlediği için bazı eylemler kaydedilir. Günlüğe kaydedilen eylemler bir bağlantıyı kesmek için DROP, bir bağlantıyı açmak için AÇIK, bir bağlantıyı kapatmak için KAPAT, yerel bilgisayara açılan gelen bir oturum için AÇIK KİMLİK ve Windows Güvenlik Duvarı tarafından işlenen olaylar için INFO-EVENTS-LOST'tır;güvenlik günlüğüne kaydedilmedi.
protokolü - TCP, UDP veya ICMP gibi protokol kullanılır.
src-ip - Kaynak IP adresini( iletişim kurmaya çalışan bilgisayarın IP adresi) görüntüler.
dst-ip - Bir bağlantı denemesinin hedef IP adresini görüntüler.
src-port - Bağlantı kurulmaya çalışılan gönderen bilgisayardaki bağlantı noktası numarası.
dst-port - Gönderen bilgisayarın bağlantı kurmaya çalıştığı port.
boyutu - Paket boyutunu bayt cinsinden görüntüler.
tcpflags - TCP üstbilgilerindeki TCP kontrol bayrakları hakkında bilgi.
tcpsyn - Paketteki TCP sıra numarasını görüntüler.
tcpack - Paketteki TCP onaylama numarasını görüntüler.
tcpwin - Paketteki TCP pencere boyutunu bayt olarak görüntüler.
icmptype - ICMP iletileri hakkında bilgi.
icmpcode - ICMP mesajları hakkında bilgi.
info - Oluşan eylem türüne bağlı olan bir girişi görüntüler.
yolu - İletişimin yönünü görüntüler. Mevcut seçenekler GÖNDER, ALIN, İLERİ ve Bilinmiyor.
Fark ettiğiniz gibi, günlük girişi gerçekten büyüktür ve her olayla ilişkili en fazla 17 parça bilgi içerebilir. Bununla birlikte, genel analiz için yalnızca ilk sekiz bilgi önemlidir. Elinizdeki ayrıntılarla şimdi kötü amaçlı etkinlik bilgilerini analiz edebilir veya uygulama hatalarını ayıklayabilirsiniz.
Herhangi bir kötü amaçlı eylemden şüpheleniyorsanız, günlük dosyasını Not Defteri'nde açın ve eylem alanındaki DROP ile tüm günlük girdilerini filtreleyin ve hedef IP adresinin 255'den farklı bir sayı ile bitip çıkmadığına dikkat edin. Böyle birçok girdi bulursanızpaketlerin hedef IP adreslerini not alın. Sorunu gidermeyi tamamladığınızda, güvenlik duvarı günlüğünü devre dışı bırakabilirsiniz.
Ağ sorunlarını giderme bazen oldukça zorlanıyor olabilir ve Windows Güvenlik Duvarı sorunlarını gidermek için yerel günlükleri etkinleştirmek iyi bir uygulamadır. Windows Güvenlik Duvarı günlük dosyası, ağınızın genel güvenliğini analiz etmek için kullanışlı olmasa da, sahnelerin arkasında neler olduğunu izlemek istiyorsanız yine de iyi bir uygulamadır.
