一、介绍
Windows 防火墙日志记录了防火墙对网络连接的监控情况,包括允许或阻止的连接、源 IP 地址、目标 IP 地址、端口号等重要信息。查看防火墙日志有助于排查网络连接问题、分析潜在的安全威胁以及审计网络访问情况。默认情况下,Windows 防火墙日志处于关闭状态,需要手动开启后才能查看相关记录。
二、开启windows防火墙日志查看功能
打开控制面板:按下Win + R组合键,输入control并回车,打开控制面板。
进入防火墙设置:在控制面板中,将查看方式改为 “大图标” 或 “小图标”,找到并点击 “Windows Defender 防火墙”。
进入高级设置:在左侧导航栏中,点击 “高级设置”,打开 “Windows Defender 防火墙高级安全” 窗口。
配置日志属性:
在左侧栏中选择 “Windows Defender 防火墙属性”(位于窗口顶部)。
在弹出的属性窗口中,分别对 “域配置文件”“专用配置文件”“公用配置文件” 进行设置(通常建议全部开启)。
点击每个配置文件对应的 “自定义” 按钮,在 “日志设置” 部分,点击 “日志位置” 后的 “浏览” 可自定义日志保存路径(默认路径为C:WindowsSystem32LogFilesFirewallpfirewall.log)。
设置 “最大日志大小”(默认 4096KB),并将 “记录被丢弃的数据包” 和 “记录成功的连接” 设置为 “是”,完成后点击 “确定” 保存。
三、查看windows防火墙日志记录
直接打开日志文件:
按照步骤 1 中设置的日志路径,找到pfirewall.log文件(默认路径需注意:System32 文件夹可能需要管理员权限访问)。
双击该文件,默认会用记事本打开,也可使用 Excel、记事本 ++ 等工具打开以更清晰地查看内容。
理解日志内容:
Date:事件发生日期
Time:事件发生时间
Action:防火墙操作(允许ALLOW或阻止BLOCK)
Protocol:使用的协议(TCP、UDP 等)
Src IP:源 IP 地址
Dst IP:目标 IP 地址
Src Port:源端口
Dst Port:目标端口
日志开头的注释行(以#开头)说明了各字段的含义,主要包括:
非注释行即为具体的连接记录,可根据时间、IP 地址或端口号筛选关键信息。
使用事件查看器辅助分析:
按下Win + R,输入eventvwr.msc并回车,打开事件查看器。
依次展开 “应用程序和服务日志”→“Microsoft”→“Windows”→“Windows Firewall with Advanced Security”→“Firewall”,这里会以事件形式展示防火墙的关键操作,可配合日志文件交叉分析。
四、教程总结
查看 Windows 防火墙日志的核心步骤是先开启日志记录功能,再通过直接打开日志文件或使用事件查看器进行分析。日志记录的信息对于网络故障排查和安全审计至关重要,建议根据实际需求定期查看。
