Tijdens het filteren van internetverkeer hebben alle firewalls een soort logfunctie waarmee wordt gedocumenteerd hoe de firewall verschillende typen verkeer heeft afgehandeld. Deze logboeken kunnen waardevolle informatie bieden, zoals bron- en doel-IP-adressen, poortnummers en protocollen. U kunt ook het logbestand van Windows Firewall gebruiken om TCP- en UDP-verbindingen en -pakketten te controleren die worden geblokkeerd door de firewall.
Er verschijnt een nieuw dialoogvenster. Klik nu op het tabblad "Privé Profiel" en selecteer "Aanpassen" in de "Logging Section".
Een nieuw venster opent en van daaruit kiest u uw maximale loggrootte, locatie en of u alleen gedropte pakketten, succesvolle verbindingen of beide. Een verwijderd pakket is een pakket dat Windows Firewall heeft geblokkeerd. Een succesvolle verbinding verwijst zowel naar inkomende verbindingen als naar verbindingen die u via internet hebt gemaakt, maar dit betekent niet altijd dat een indringer verbinding heeft gemaakt met uw computer.
Windows Firewall schrijft standaard logboekvermeldingen naar
% SystemRoot% System32 LogFiles Firewall Pfirewall.logen slaat alleen de laatste 4 MB aan gegevens op. In de meeste productieomgevingen zal dit logboek constant naar uw harde schijf schrijven en als u de maximale grootte van het logbestand wijzigt (om activiteiten over een lange periode te loggen), kan dit een prestatie-impact veroorzaken. Daarom moet u logboekregistratie alleen inschakelen als u actief een probleem probeert op te lossen en logboekregistratie onmiddellijk uitschakelen wanneer u klaar bent.
Klik vervolgens op het tabblad "Openbaar profiel" en herhaal dezelfde stappen als voor het tabblad "Privé profiel" . U hebt nu het logboek ingeschakeld voor zowel privé- als openbare netwerkverbindingen. Het logbestand wordt gemaakt in een uitgebreid W3C-logbestand (.log) dat u kunt bekijken met een teksteditor van uw keuze of importeert in een spreadsheet. Een enkel logbestand kan duizenden tekstinvoer bevatten, dus als u ze via Kladblok leest, schakel dan het wikkelen van woorden uit om de kolomopmaak te behouden. Als u het logbestand in een spreadsheet bekijkt, worden alle velden logisch weergegeven in kolommen om de analyse te vergemakkelijken.
Scroll op het hoofdscherm 'Windows Firewall met geavanceerde beveiliging' totdat u de link 'Monitoring' ziet. Klik in het detailvenster onder "Logboekinstellingen" op het bestandspad naast "Bestandsnaam". Het logboek wordt geopend in Kladblok.
Het logbestand van Windows Firewall interpreteren
Volgens de Microsoft Technet-documentatie bevat de header van het logbestand het volgende:
Versie - Geeft aan welke versie van het beveiligingslogboek van Windows Firewall is geïnstalleerd.
Software - Geeft de naam weer van de software die het logboek maakt.
Tijd: geeft aan dat alle tijdstempelinformatie in het logboek in lokale tijd is.
Velden - Geeft een lijst met velden weer die beschikbaar zijn voor beveiligingslogboek invoeren, als gegevens beschikbaar zijn.
Terwijl de hoofdtekst van het logbestand het volgende bevat:
datum - het datumveld geeft de datum aan in de notatie JJJJ-MM-DD.
tijd - de lokale tijd wordt weergegeven in het logbestand met het formaat UU: MM: SS. Er wordt naar de uren verwezen in 24-uurs formaat.
actie - Terwijl de firewall verkeer verwerkt, worden bepaalde acties vastgelegd. De geregistreerde acties zijn DROP voor het verbreken van een verbinding, OPEN voor het openen van een verbinding, CLOSE voor het sluiten van een verbinding, OPEN-INBOUND voor een inkomende sessie geopend voor de lokale computer en INFO-EVENTS-LOST voor gebeurtenissen verwerkt door de Windows Firewall, maar werden niet opgenomen in het beveiligingslog.
protocol - Het gebruikte protocol zoals TCP, UDP of ICMP.
src-ip - Geeft het bron-IP-adres weer (het IP-adres van de computer die probeert communicatie tot stand te brengen).
dst-ip - Geeft het bestemmings-IP-adres van een verbindingspoging.
src-port - Het poortnummer op de verzendende computer waarvan de verbinding is geprobeerd.
dst-port - De poort waarnaar de poort wordt verzonden verzendende computer probeerde een verbinding tot stand te brengen.
grootte - geeft de pakketgrootte weer in bytes.
tcpflags - Informatie over TCP-besturingsvlaggen in TCP-headers.
tcpsyn - Geeft het TCP-volgnummer in het pakket weer.
tcpack - Geeft het TCP-bevestigingsnummer in het pakket weer.
tcpwin - Toont de TCP w indow-afmeting, in bytes, in het pakket.
icmptype - Informatie over de ICMP-berichten.
icmpcode - Informatie over de ICMP-berichten.
info - Geeft een invoer weer die afhangt van het type actie dat plaatsvond.
pad - Geeft de richting van de communicatie weer. De beschikbare opties zijn VERZENDEN, ONTVANGEN, VOORUITZENDEN en ONBEKEND.
Zoals u opmerkt, is de logboekvermelding inderdaad groot en kunnen er maximaal 17 stukjes informatie aan elke gebeurtenis zijn gekoppeld. Alleen de eerste acht stukjes informatie zijn echter belangrijk voor algemene analyse. Met de details in uw hand kunt u nu de informatie analyseren voor kwaadwillende activiteiten of foutmeldingen bij de foutopsporing.
Als u vermoedt dat er enige schadelijke activiteit is, opent u het logbestand in Kladblok en filtert u alle logboekvermeldingen met DROP in het actieveld en merk op of het IP-adres van de bestemming eindigt met een ander nummer dan 255. Als u veel van dergelijke vermeldingen vindt, noteert u dan de IP-adressen van de pakketten van bestemming. Zodra u het probleem hebt verholpen, kunt u de logboekregistratie van de firewall uitschakelen.
Problemen met netwerkproblemen oplossen kan soms nogal beangstigend zijn en aanbevolen procedures voor het oplossen van problemen met Windows Firewall zijn om de native logboeken in te schakelen. Hoewel het logbestand van Windows Firewall niet nuttig is voor het analyseren van de algemene beveiliging van uw netwerk, blijft het nog steeds een goede gewoonte als u wilt controleren wat er achter de schermen gebeurt.
Wat Precies een 'Quantum Dot'-tv is?
'Tv-fabrikanten zijn constant in de race om nieuwe' functies 'toe te voegen, zodat ze u kunnen overtuigen om een nieuwe tv te kopen. De volgende stap na 3D-, 4K- en gebogen schermen: Quantum dots! Quantumdotschermen zijn geen nieuwe technologie, maar ze vinden hun weg naar tv's en u zult zien dat ze sneller worden geadverteerd.
Niet-actieve toepassingen automatisch sluiten (of verbergen) op uw Mac met Quitter
Wees eerlijk: u leest dit in plaats van te werken, toch? Ik ben dankbaar, want dat is hoe ik mijn brood verdien, maar in je belang moet je echt proberen te focussen. Het is te gemakkelijk om snel Twitter of IM te openen voor "slechts één minuut", vooral wanneer ze op de achtergrond open zitten. Quitter is een Mac-app die kan helpen.