如果 Windows 防火墙处于打开状态,那么它可以保留成功通过防火墙的连接以及被阻止的连接(数据包被丢弃)的安全日志(或记录)。
当您选择记录被丢弃的数据包时,就会收集由 Windows 防火墙检测并阻止的所有试图通过防火墙的尝试的信息。例如,如果您的 Internet 控制消息协议 (ICMP) 设置没有设置成允许传入的回显请求(如 Ping 和 Tracert 命令发出的那些请求),而此时接到了来自网络外的回显请求,那么回显请求将被丢弃,同时日志中将生成一个项。
当您选择记录成功的连接时,就会收集有关每个成功通过防火墙的连接的信息。例如,当您的计算机使用 Web 浏览器成功连接到网站时,该连接将记录在日志中。
安全日志分两部分:
1、“标题”显示安全日志的版本信息以及数据项可用字段信息,您可以向其中添加信息。
2、“正文”是针对通信或试图通过防火墙的尝试收集和记录的所有信息的完整报告。安全日志的正文是动态列表,新的数据项将在日志的底部显示。
下表介绍安全日志中记录的信息:
标题信息
项 |
说明 |
范例 |
|
#Version:
|
显示 Windows 防火墙安全日志安装的版本。
|
1.5
|
|
#Software:
|
显示安全日志的名称。
|
Microsoft Windows Firewall
|
|
#Time:
|
表示日志中所有时间戳都是本地时间。
|
Local
|
|
#Fields:
|
显示安全日志项可用的字段的静态列表(如果存在数据的话)。这些字段列在下面的“正文”表中。
|
src-ip
|
正文数据
字段 |
说明 |
范例 |
|
Date
|
显示已记录事务发生的年、月、日。日期按以下格式记录:
YYYY-MM-DD
其中,YYYY 表示年,MM 表示月,DD 表示日。
|
2001-01-27
|
|
Time
|
显示已记录的事务发生时的小时、分钟、秒。时间按以下格式记录:
HH:MM:SS
其中,HH 表示 24 小时制的小时,MM 表示分钟,SS 表示秒。
|
21:36:59
|
|
Action
|
显示被防火墙观察的操作。防火墙的可用选项有 OPEN、CLOSE、DROP 和 INFO-EVENTS-LOST。INFO-EVENTS-LOST 操作表示已发生但是没有记录在日志中的事件数目。
|
OPEN
|
|
Protocol
|
显示用于通讯的协议。协议项也可以是除 TCP、UDP 或 ICMP 外的数据包的数目。
|
TCP
|
|
src-ip
|
显示源 IP 地址(尝试建立通讯的计算机的 IP 地址)。
|
192.168.0.1
|
|
dst-ip
|
显示尝试建立的通讯的目标 IP 地址。
|
192.168.0.1
|
|
src-port
|
显示发送计算机的源端口号。只有 TCP 和 UDP 才显示有效的 src-port 项,所有其他协议都显示以下 src-port 项:
-。
|
4039
|
|
dst-port
|
显示目标计算机的端口。只有 TCP 和 UDP 才显示有效的 dst-port 项,所有其他协议都显示 dst-port 项:
-。
|
53
|
|
size
|
以字节为单位显示数据包大小。
|
60
|
|
tcpflags
|
显示在 IP 数据包的 TCP 标题中找到的 TCP 控制标志:
- Ack 确认字段有效位
- Fin 没有来自发送方的其它数据
- Psh “推”功能
- Rst 重置连接
- Syn 同步序列号
- Urg 紧急指针字段有效位
标志以大写字母表示。
|
FAP
|
|
tcpsyn
|
显示数据包中的 TCP 序列号。
|
1315819770
|
|
tcpack
|
显示数据包中的 TCP 确认号。
|
2515999782
|
|
tcpwin
|
显示数据包中的 TCP 窗口大小(以字节为单位)。
|
64240
|
|
icmptype
|
显示代表 ICMP 消息“类型”字段的号码。
|
8
|
|
icmpcode
|
显示代表 ICMP 消息“代码”字段的号码。
|
0
|
|
info
|
显示取决于所发生操作类型的信息项。例如,INFO-EVENTS-LOST 操作所导致的项中记录自上次发生该类型事件以来已发生但没有记录在日志中的事件数。
|
23
|
注意:
· 在默认情况下,Windows 防火墙安全记录处于关闭状态。
· 只有启用了 Windows 防火墙的连接才能使用日志记录功能。
