Windows Firewall

Logging

Man kann das Logging der Windows Firewall Profile einstellen, worin dann Pakete die gedroppt werden in einem Log geschrieben sind. Um das Feature einzuschalten, muss die “Windows Defender Firewall mit erweiteter Sicherheit” geöffnet werden. Klicke rechts auf den ersten Eintrag im Baum mit dem Namen “Windows Defender Firewall mit erweiteter Sicerheit auf Lokaler Computer”.

Von dort aus kann man bei den verschiedenen Profilen unter dem Menüpunkt “Protokollierung” das Logging anpassen. Stelle die Option “Verworfene Pakete protokollieren” auf Ja und erhöhe das größen Limit auf 32MB.

Das geschriebene Log kann unter dem Pfad %systemroot%\system32\LogFiles\Firewalls gefunden werden. Es bietet sich auch an für jedes Profil der Firewall (Domäne/Privat/Öffentlich) der Log Datei einen eigenen sprechenden Namen zu geben.¹

Event Viewer Custom Filter

Es besteht ebenfalls die Möglichkeit sich die Informationen im Event Viewer unter Windows Logs > Security anzuschauen. Diese Informationen werden nicht standardmäßig dort geloggt und muss mit folgendem Befehl (als Admin) aktiviert werden.

auditpol /set /subcategory:"{0CCE9226-69AE-11D9-BED3-505054503030}"

Nun werden dort auch die Paket Drops angezeigt, allerdings gemischt mit den anderen Meldungen. Nun kann man sich einen Custom Filter erstellen der nur die Event ID 5157 anzeigt.¹

References

Save HOURS of Troubleshooting With One Setting in Windows Firewall ↩ ↩²

Network Haven

Explorer

Windows Firewall

Windows Firewall

Logging

Event Viewer Custom Filter

References

Graphansicht

Inhaltsverzeichnis

Backlinks

Network Haven

Explorer

Windows Firewall

Windows Firewall

Logging

Event Viewer Custom Filter

References

Footnotes

Graphansicht

Inhaltsverzeichnis

Backlinks