lt.phhsnews.com


lt.phhsnews.com / Kaip stebėti ugniasienės veiklą su "Windows" ugniasienės žurnalu

Kaip stebėti ugniasienės veiklą su "Windows" ugniasienės žurnalu


Filtravimo interneto srautu metu visose ugniasienėse yra tam tikros rūšies registravimo funkcija, kuri dokumentuoja, kaip ugniasienė tvarko įvairius srauto tipus. Šie žurnalai gali suteikti vertingos informacijos, tokios kaip šaltinio ir paskirties IP adresai, prievadų numeriai ir protokolai. Taip pat galite naudoti "Windows" ugniasienės žurnalo failą, kad stebėtumėte TCP ir UDP jungtis bei paketus, kuriuos užkarda užkarda.

Kodėl ir kada ugniasienės registravimas yra naudingas

  1. Norėdami patikrinti, ar naujai įdiegtos ugniasienės taisyklės veikia tinkamai arba jas derina jei jie neveikia taip, kaip tikėtasi.
  2. Norėdami nustatyti, ar "Windows" ugniasienė yra priežastis, dėl kurios buvo nesėkmingos programos. Naudodamiesi užkardos registravimo funkcija, galite patikrinti, ar neįjungtos prievado angos, dinaminės uosto angos, analizuojami nukritę paketai su tiesioginiais ir skubiais vėliavomis ir analizuojami. nukrito paketai siuntimo keliu.
  3. Norėdami padėti ir nustatyti kenkėjišką veiklą - naudodamiesi užkardos registravimo funkcija galite patikrinti, ar bet kokia kenkėjiška veikla įvyko jūsų tinkle, ar ne, nors jūs turite prisiminti, kad ji nepateikia informacijos, reikalingos stebėti žemyn veiklos šaltinį.
  4. Jei pastebėjote, kad pakartotinai nesėkmingi bandymai pasiekti ugniasienę ir (arba) kitas aukšto lygio sistemas iš vieno IP adreso (arba IP adresų grupės), tuomet galbūt norėsite parašyti taisyklę, kad būtų uždrausti visi ryšiai iš šios IP vietos (įsitikinkite, kad IP adresas nėra suklastotas).
  5. Iš vidaus siunčiami prisijungimai iš vidinių serverių, pavyzdžiui, žiniatinklio serveriai, gali būti nuoroda, kad kažkas naudoja jūsų sistemą paleisti išpuolius prieš kompiuterius, esančius kituose tinkluose.

Kaip kurti žurnalo failą

Numatyta, kad žurnalo failas yra išjungtas, tai reiškia, kad žurnalo failui nėra jokios informacijos. Norėdami sukurti žurnalo failą, paspauskite "Win key + R", kad atidarytumėte langą "Run". Įveskite "wf.msc" ir paspauskite "Enter". Pasirodys ekranas "Windows ugniasienė su pažangia sauga". Dešinėje ekrano pusėje spustelėkite "Ypatybės".

Atsivers naujas dialogo langas. Dabar spustelėkite skirtuką "Privatus profilis" ir pasirinkite "Tinkinti" skirsnyje "Prisijungti".

Atsivers naujas langas ir iš šio ekrano pasirinkite maksimalų žurnalo dydį, vietą ir tai, ar įrašyti tik nukritusius paketus, sėkmingą ryšį ar abu. Paketinis paketas yra paketas, kurį "Windows" ugniasienė užblokavo. Sėkmingas ryšys susijęs tiek su gaunamais ryšiais, tiek su visais interneto ryšiais, bet tai ne visada reiškia, kad įsibrovėlis sėkmingai prijungtas prie jūsų kompiuterio.

Pagal numatytuosius nustatymus "Windows" ugniasienė įrašo žurnalo įrašus į% SystemRoot% System32 LogFiles Firewall Pfirewall.logir saugo tik paskutinius 4 MB duomenų. Daugelyje gamybos aplinkų šis žurnalas bus nuolat įrašomas į jūsų standųjį diską, o jei pakeisite failo dydžio apribojimą (norėdami užregistruoti veiklą ilgą laiką), tai gali sukelti našumą. Dėl šios priežasties turėtumėte įjungti medieną tik tada, kai aktyviai trikdėte problemą, tada nedelsdami išjunkite registravimą, kai baigsite.

Tada spustelėkite "Viešojo profilio" skirtuką ir kartokite tuos pačius veiksmus, kuriuos atlikote skirtuke "Asmeninis profilis". . Dabar esate įjungę privačių ir viešųjų tinklo jungčių žurnalą. Žurnalo failas bus sukurtas W3C pratęsto ​​žurnalo formatu (.log), kurį galėsite išnagrinėti naudodami pasirinktą teksto redaktorių arba importuoti į skaičiuoklę. Vienoje žurnalo faile gali būti tūkstančiai teksto įrašų, taigi, jei jūs skaitote juos naudodami Notepad, tada išjunkite žodžių apvyniojimą, kad išsaugotumėte stulpelių formatavimą. Jei peržiūrėsite žurnalo failą skaičiuoklėje, tada visi laukai bus logiškai rodomi stulpeliuose, kad būtų lengviau juos analizuoti.

Pagrindiniame "Windows ugniasiene su pažangiosios saugos" ekranu slinkite žemyn, kol pamatysite nuorodą "Stebėjimas". Langelyje Detalės, esančiame "Logging Settings", spustelėkite failo kelią šalia "File Name". Žurnalas atsidaro Notepad.

"Windows" užkardos žurnalo interpretavimas

"Windows" užkardos saugos žurnalas yra du skyriai. Antraštėje pateikiama statiška aprašoma informacija apie žurnalo versiją ir galimus laukus. Žurnalo korpusas yra surinkti duomenys, kurie įvedami dėl srauto, bandančio peržengti ugniasienę. Tai yra dinamiškas sąrašas, o žurnalo apačioje pasirodo nauji įrašai. Laukai yra parašyti iš kairės į dešinę per visą puslapį.

Pagal "Microsoft Technet" dokumentaciją žurnalo failo antraštė yra:

Versija - Rodo, kuri Windows užkardos saugos žurnalo versija įdiegta.
Programinė įranga - rodo programinės įrangos, kuriančios žurnalą, pavadinimą.
Laikas - rodo, kad visa žurnale esanti laiko žymos yra vietiniu laiku.
Laukai - rodomi laukai, kurie yra prieinami saugos žurnale įrašai, jei duomenys yra prieinami.

Nors žurnalo failo kūnas yra:

data - datos laukas nurodo datą formatu MMMM-MM-DD
time - vietinis laikas rodomas žurnalo failą formatu HH: MM: SS. Valandos nurodomos 24 valandų formatu. Veiksmas
- Kadangi ugniasienė apdoroja srautą, užregistruoti tam tikri veiksmai. Įregistruoti veiksmai yra DROP, norint nutraukti ryšį, OPEN atidaryti ryšį, CLOSE užmegzti ryšį, OPEN-INBOUND, skirtą į vietinį kompiuterį atidaromą atvykimo sesiją, ir INFO-EVENTS-LOST įvykiams, apdorotiems Windows užkardos, tačiau
protokolas - naudojamas protokolas, pvz., TCP, UDP ar ICMP.
src-ip - Rodo šaltinio IP adresą (kompiuterio IP adresą, kuriame bandoma užmegzti ryšį).
dst-ip - parodo bandymo prisijungti paskirties IP adresą.
src-port - siuntimo kompiuterio, iš kurio buvo bandoma prisijungti, prievado numeris.
dst-port - uostas, prie kurio
dydis - rodo paketų dydį baitais.
tcpflags - informacija apie TCP valdymo langelius TCP antraštėse.
tcpsyn - parodo TCP sekos numerį paketą.
tcpack - parodo TCP patvirtinimo numerį paketoje.
tcpwin - rodo TCP w
icmptype - Informacija apie ICMP pranešimus.
icmpcode - Informacija apie ICMP pranešimus.
info - rodomas įrašas, priklausantis nuo įvykio tipo.
kelias - parodo komunikacijos kryptį. Galimos parinktys yra SEND, PRIĖMIMAS, FORWARD ir UNKNOWN.

Kaip pastebėjote, žurnalo įrašas iš tiesų yra didelis ir gali būti iki 17 informacijos, susijusios su kiekvienu įvykiu. Tačiau bendrajai analizei svarbūs tik pirmieji aštuonios informacijos dalys. Dabar galite išsamiai analizuoti informaciją apie kenkėjišką veiklą arba atkūrimo programos gedimus.

Jei įtariate bet kokią kenkėjišką veiklą, atidarykite žurnalo failą "Notepad" ir filtruokite visus žurnalo įrašus su DROP veiksmo lauke ir atkreipkite dėmesį, ar paskirties IP adresas baigiasi numeriu, kuris yra ne 255. Jei radote daug tokių įrašų, tada atkreipkite dėmesį į paketų paskirties IP adresus. Baigę trikčių šalinimą, galite išjungti ugniasienės registravimą.

Tinklo problemų sprendimas kartais gali būti nelengvas, o "Windows" ugniasienės trikčių šalinimas yra rekomenduojamas, norint įjungti vietinius žurnalus. Nors "Windows" ugniasienės žurnalo failas nėra naudingas bendram tinklo saugumui analizuoti, vis tiek išlieka gera praktika, jei norite stebėti, kas vyksta užkulisiuose.


Susipažinimas su

Susipažinimas su "Windows 10" parduotuvėje

" Windows "parduotuvė visada buvo sąžiningai dalijama vis didėjančių skausmų, o nuo debiutavo sistemoje" Windows 8 "ji buvo neveiksminga" Google "ir" Apple "pasiūlymų. "Windows 10" vis dėlto galiausiai atrodo, kad "Windows" parduotuvė pasuko į kampą. SUSIJĘS: "Windows" parduotuvė yra "Nesąžiningi nesąžiningi veiksmai" - kodėl "Microsoft Care" nėra?

(how-to)

Geriausi nemokami vieši DNS serveriai

Geriausi nemokami vieši DNS serveriai

Ar norite persijungti iš savo ISP DNS į kitą teikėją? Buvau nustebęs sužinojęs, kad naudojantis nemokamu viešu DNS serveriu iš patikimos įmonės buvo kur kas geriau nei naudojantis savo vietiniu ISP DNS, ypač keliaujant užsienyje.Neseniai buvau Indijoje ir labai nusivylėu dėl to, kad nuolatinis tinklalapis negali įkelti klaidų, o svetainė įkeliama po 5 sekundžių. Aš nuolat žiūrėjau į

(How-to)