可将高级安全 Windows 防火墙配置为记录指示其进程的成功和失败的事件。日志记录设置包括两组设置:日志文件自身的设置和确定文件将记录哪些事件的设置。可为每个防火墙配置文件单独配置该设置。
您可以指定创建日志文件的位置、文件可以增长到多大,以及是否希望日志文件记录有关丢弃的数据包、成功的连接(或两者)的信息。
 | 打开此对话框的步骤 |
在高级安全 Windows 防火墙 MMC 管理单元的“概述”中,单击“Windows 防火墙属性”。
选择要为其配置日志的防火墙配置文件对应的选项卡。
在“日志”中单击“自定义”。
名称
输入希望 Windows 防火墙在其中写入其日志信息的文件的路径和名称。如果要配置将部署到多台计算机的组策略对象 (GPO),请使用可用环境变量(如 %windir%),以确保对于网络上的每台计算机该位置均是正确的。
仅指定文件位置不会启动日志记录。还必须选中用于记录丢弃的数据包或成功的连接的两个复选框之一。
 | 重要 |
如果要配置运行 Windows Vista 或更新版本 Windows 的计算机的设置,且指定默认值以外的位置,则必须确保 Windows 防火墙服务具有向该位置写入的权限。 |
| 向 Windows 防火墙服务授予日志文件夹写入权限的步骤 |
找到为日志文件指定的文件夹,右键单击该文件夹,然后单击“属性”。
单击“安全”选项卡,然后单击“编辑”。
单击“添加”,在“输入要选择的对象名称”中键入 NT SERVICE\mpssvc,然后单击“确定”。
在“权限”对话框中,验证 MpsSvc 是否具有“写入”权限,然后单击“确定”。
大小限制
指定允许文件增长到的最大大小。该值必须介于 1 和 32,767 千字节 (KB) 之间。
达到指定的大小限制时,高级安全 Windows 防火墙会关闭日志文件并通过向文件名结尾添加“.old”对其进行重命名。然后它会创建并使用具有原始日志文件名的新日志文件。每次只能保留两个文件。如果第二个文件达到最大大小,则通过添加“.old”对其进行重命名,原始“.old”文件会被丢弃。
记录丢弃的数据包
使用此选项可以在高级安全 Windows 防火墙以任何原因丢弃入站数据包时记录日志。日志将记录丢弃数据包的原因和时间。在日志的“操作”列中查找带有单词 DROP 的条目。
记录成功的连接
使用此选项可以在高级安全 Windows 防火墙允许入站连接时记录日志。日志将记录建立连接的原因和时间。在日志的“操作”列中查找带有单词 ALLOW 的条目。
事件日志
高级安全 Windows 防火墙操作事件日志是可用于查看 Windows 防火墙策略更改的另一种资源。操作日志始终处于开启状态,且包含防火墙规则和连接安全规则的事件。
| 查看高级安全 Windows 防火墙事件日志的步骤 |
打开“事件查看器”。依次单击「开始」、“管理工具”和“事件查看器”。
在导航窗格中,依次展开“应用程序和服务日志”、Microsoft、Windows 和“高级安全 Windows 防火墙”。
单击 ConnectionSecurity、ConnectionSecurityVerbose、“防火墙”或 FirewallVerbose。默认情况下未启用标记为“verbose”的日志。若要启用这些日志,请在“操作”中单击“启用日志”。