Windows Güvenlik Duvarı Günlüğü ile Güvenlik Duvarı Etkinliği Nasıl İzlenir

İnternet trafiğini filtreleme sürecinde, tüm güvenlik duvarları, güvenlik duvarının çeşitli trafik türlerini nasıl ele aldığını belgeleyen bir tür günlük kaydı özelliğine sahiptir. Bu günlükler, kaynak ve hedef IP adresleri, bağlantı noktası numaraları ve protokoller gibi değerli bilgiler sağlayabilir. Güvenlik duvarı tarafından engellenen TCP ve UDP bağlantılarını ve paketleri izlemek için Windows Güvenlik Duvarı günlük dosyasını da kullanabilirsiniz.

Güvenlik Duvarı Günlüğü Neden ve Ne Zaman Faydalı?

1. Yeni eklenen güvenlik duvarı kurallarının düzgün çalışıp çalışmadığını doğrulamak veya beklendiği gibi çalışmıyorlarsa hata ayıklamak için.
2. Uygulama hatalarının nedeninin Windows Güvenlik Duvarı olup olmadığını belirlemek için — Güvenlik Duvarı günlüğe kaydetme özelliğiyle, devre dışı bırakılan bağlantı noktası açıklıklarını, dinamik bağlantı noktası açıklıklarını kontrol edebilir, bırakılan paketleri push ve acil bayraklarla analiz edebilir ve gönderme yolunda bırakılan paketleri analiz edebilirsiniz.
3. Kötü amaçlı etkinliği tespit etmek ve yardımcı olmak için — Güvenlik Duvarı günlük kaydı özelliğiyle, ağınızda herhangi bir kötü amaçlı etkinlik olup olmadığını kontrol edebilirsiniz, ancak bunun etkinliğin kaynağını izlemek için gereken bilgileri sağlamadığını hatırlamanız gerekir.
4. Güvenlik duvarınıza ve/veya diğer yüksek profilli sistemlerinize bir IP adresinden (veya IP adresleri grubundan) tekrar tekrar başarısız erişim girişimleri fark ederseniz, o IP alanından tüm bağlantıları bırakmak için bir kural yazmak isteyebilirsiniz (emin olun. IP adresi sahte değil).
5. Web sunucuları gibi dahili sunuculardan gelen giden bağlantılar, birisinin diğer ağlarda bulunan bilgisayarlara saldırı başlatmak için sisteminizi kullandığının bir göstergesi olabilir.

Günlük Dosyası Nasıl Oluşturulur

Varsayılan olarak, günlük dosyası devre dışıdır, yani günlük dosyasına hiçbir bilgi yazılmaz. Bir günlük dosyası oluşturmak için Çalıştır kutusunu açmak için “Win ​​tuşu + R” tuşlarına basın. "wf.msc" yazın ve Enter'a basın. “Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı” ekranı belirir. Ekranın sağ tarafında, "Özellikler" i tıklayın.

Yeni bir iletişim kutusu belirir. Şimdi "Özel Profil" sekmesine tıklayın ve "Günlük Kayıt Bölümü"nde "Özelleştir"i seçin.

Yeni bir pencere açılır ve bu ekrandan maksimum günlük boyutunuzu, konumunuzu ve yalnızca bırakılan paketleri mi, başarılı bağlantı mı yoksa her ikisini mi günlüğe kaydedeceğinizi seçin. Bırakılan paket, Windows Güvenlik Duvarı'nın engellediği bir pakettir. Başarılı bir bağlantı, hem gelen bağlantıları hem de İnternet üzerinden yaptığınız herhangi bir bağlantıyı ifade eder, ancak bu her zaman bir davetsiz misafirin bilgisayarınıza başarılı bir şekilde bağlandığı anlamına gelmez.

Varsayılan olarak, Windows Güvenlik Duvarı günlük girişlerini %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log ve yalnızca son 4 MB veriyi depolar. Çoğu üretim ortamında, bu günlük sabit diskinize sürekli olarak yazar ve günlük dosyasının boyut sınırını değiştirirseniz (uzun bir süre boyunca etkinliği günlüğe kaydetmek için), performans üzerinde bir etkiye neden olabilir. Bu nedenle, yalnızca bir sorunu etkin bir şekilde giderirken günlüğe kaydetmeyi etkinleştirmeli ve ardından işiniz bittiğinde günlüğe kaydetmeyi hemen devre dışı bırakmalısınız.

Ardından, “Genel Profil” sekmesine tıklayın ve “Özel Profil” sekmesi için yaptığınız adımları tekrarlayın. Artık hem özel hem de genel ağ bağlantıları için günlüğü açtınız. Günlük dosyası, seçtiğiniz bir metin düzenleyiciyle inceleyebileceğiniz veya bunları bir elektronik tabloya aktarabileceğiniz W3C genişletilmiş günlük biçiminde (.log) oluşturulacaktır. Tek bir günlük dosyası binlerce metin girişi içerebilir, bu nedenle bunları Not Defteri'nden okuyorsanız sütun biçimlendirmesini korumak için sözcük kaydırmayı devre dışı bırakın. Günlük dosyasını bir elektronik tabloda görüntülüyorsanız, daha kolay analiz için tüm alanlar mantıksal olarak sütunlarda görüntülenecektir.

Ana “Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı” ekranında, “İzleme” bağlantısını görene kadar aşağı kaydırın. Ayrıntılar bölmesinde, "Günlük Ayarları" altında, "Dosya Adı"nın yanındaki dosya yolunu tıklayın. Günlük Not Defteri'nde açılır.

Windows Güvenlik Duvarı günlüğünü yorumlama

Windows Güvenlik Duvarı güvenlik günlüğü iki bölüm içerir. Başlık, günlüğün sürümü ve kullanılabilir alanlar hakkında statik, açıklayıcı bilgiler sağlar. Günlüğün gövdesi, güvenlik duvarını geçmeye çalışan trafiğin bir sonucu olarak girilen derlenmiş verilerdir. Bu dinamik bir listedir ve günlüğün altında yeni girişler görünmeye devam eder. Alanlar sayfa boyunca soldan sağa yazılır. (-) alan için uygun giriş olmadığında kullanılır.

Microsoft Technet belgelerine göre günlük dosyasının başlığı şunları içerir:

Sürüm — Windows Güvenlik Duvarı güvenlik günlüğünün hangi sürümünün yüklü olduğunu görüntüler.
Yazılım — Günlüğü oluşturan yazılımın adını görüntüler.
Saat — Günlükteki tüm zaman damgası bilgilerinin yerel saatte olduğunu gösterir.
Alanlar — Veri varsa, güvenlik günlüğü girişleri için kullanılabilen alanların listesini görüntüler.

Günlük dosyasının gövdesi şunları içerir:

tarih — Tarih alanı, tarihi YYYY-AA-GG biçiminde tanımlar.
saat — Yerel saat, günlük dosyasında SS:DD:SS biçiminde görüntülenir. Saatler 24 saat biçiminde belirtilir.
eylem — Güvenlik duvarı trafiği işlerken, belirli eylemler kaydedilir. Günlüğe kaydedilen eylemler, bir bağlantıyı kesmek için DROP, bir bağlantı açmak için OPEN, bir bağlantıyı kapatmak için CLOSE, yerel bilgisayara açılan bir gelen oturum için OPEN-INBOUND ve Windows Güvenlik Duvarı tarafından işlenen olaylar için INFO-EVENTS-LOST'tur, ancak güvenlik günlüğüne kaydedilmedi.
protokol — TCP, UDP veya ICMP gibi kullanılan protokol.
src-ip — Kaynak IP adresini görüntüler (iletişim kurmaya çalışan bilgisayarın IP adresi).
dst-ip — Bir bağlantı girişiminin hedef IP adresini görüntüler.
src-port — Bağlantının denendiği gönderen bilgisayardaki bağlantı noktası numarası.
dst-port — Gönderen bilgisayarın bağlantı kurmaya çalıştığı bağlantı noktası.
size — Paket boyutunu bayt olarak görüntüler.
tcpflags — TCP başlıklarındaki TCP kontrol bayrakları hakkında bilgi.
tcpsyn — Paketteki TCP sıra numarasını görüntüler.
tcpack — Paketteki TCP onay numarasını görüntüler.
tcpwin — Paketteki TCP pencere boyutunu bayt olarak görüntüler.
icmptype — ICMP mesajları hakkında bilgi.
icmpcode — ICMP mesajları hakkında bilgi.
info — Gerçekleşen eylemin türüne bağlı olarak bir giriş görüntüler.
yol — İletişimin yönünü görüntüler. Kullanılabilir seçenekler GÖNDER, AL, İLE ve BİLİNMEYEN'dir.

Fark ettiğiniz gibi, günlük girişi gerçekten büyüktür ve her olayla ilgili 17 parçaya kadar bilgi içerebilir. Ancak, genel analiz için yalnızca ilk sekiz bilgi önemlidir. Elinizdeki ayrıntılarla, artık kötü amaçlı etkinlik bilgilerini analiz edebilir veya uygulama hatalarını ayıklayabilirsiniz.

Herhangi bir kötü amaçlı etkinlikten şüpheleniyorsanız, günlük dosyasını Not Defteri'nde açın ve eylem alanında DROP ile tüm günlük girişlerini filtreleyin ve hedef IP adresinin 255'ten farklı bir sayı ile bitip bitmediğini not edin. Bu tür birçok giriş bulursanız, paketlerin hedef IP adreslerinin bir notu. Sorunu gidermeyi bitirdikten sonra güvenlik duvarı günlüğünü devre dışı bırakabilirsiniz.

Ağ sorunlarının giderilmesi bazen oldukça göz korkutucu olabilir ve Windows Güvenlik Duvarı'nda sorun giderirken önerilen iyi bir uygulama, yerel günlükleri etkinleştirmektir. Windows Güvenlik Duvarı günlük dosyası ağınızın genel güvenliğini analiz etmek için kullanışlı olmasa da, sahne arkasında neler olduğunu izlemek istiyorsanız yine de iyi bir uygulamadır.