具有進階安全性的 Windows 防火牆可以設定成記錄其處理程序為成功和失敗的事件。記錄設定包含兩個設定群組:記錄檔本身的設定和決定該檔案所記錄事件的設定。每一個防火牆設定檔都可以分別設定。

您可以指定建立記錄檔的位置、該檔案可變得多大以及記錄檔是否要記錄丟棄的封包、成功的連線或兩者都記錄等相關資訊。

開啟這個對話方塊
  1. 從具有進階安全性的 Windows 防火牆 MMC 嵌入式管理單元的 [概觀] 中按一下 [Windows 防火牆內容]

  2. 找出您想設定記錄的防火牆設定檔,並選取對應的索引標籤。

  3. [記錄] 中,按一下 [自訂]

名稱

輸入檔案的路徑與名稱,讓 Windows 防火牆在這個檔案中寫入它的記錄資訊。如果您設定的群組原則物件 (GPO) 會部署至多部電腦,請使用環境變數 (例如 %windir%),以確定網路上的每一部電腦的位置都正確。

只有指定檔案位置不會開始記錄動作。您也必須選取兩個核取方塊的其中之一,記錄丟棄的封包或成功的連線。

重要

如果您設定的電腦是執行 Windows Vista 或更新版本的 Windows,而且您指定的位置並不是預設位置,則必須確定 Windows 防火牆服務擁有該位置的寫入權限。

將記錄資料夾的寫入權限授與 Windows 防火牆服務
  1. 找出您為記錄檔指定的資料夾,在資料夾上按一下滑鼠右鍵,再按一下 [內容]

  2. 按一下 [安全性] 索引標籤,然後按一下 [編輯]

  3. 按一下 [新增],在 [請輸入物件名稱來選取] 方塊中,輸入 NT SERVICE\mpssvc,然後按一下 [確定]

  4. [權限] 對話方塊中,檢查 MpsSvc 是否擁有 [寫入] 權限,然後按一下 [確定]

大小限制

指定允許檔案大小的上限。值必須在 1 和 32,767 KB 之間。

當達到指定的大小限制時,具有進階安全性的 Windows 防火牆會關閉記錄檔,並於檔案名稱後加上 ".old",將它重新命名。然後會建立並使用新的記錄檔,此檔案具有原始記錄檔案名稱。一次只會保留兩個檔案。如果第二個檔案達到大小上限,則會加上 ".old" 將它重新命名,然後捨棄原始的 ".old" 檔案。

記錄丟棄的封包

使用此選項記錄具有進階安全性的 Windows 防火牆因任何理由而丟棄的輸入封包。此記錄將會記載丟棄封包的原因和時間。您可以在記錄的 [動作] 欄位中,找出帶有 DROP 字樣的項目。

記錄成功的連線

使用此選項記錄具有進階安全性的 Windows 防火牆允許的輸入連線。此記錄將會記載連線形成的原因和時間。您可以在記錄的 [動作] 欄位中,找出帶有 ALLOW 字樣的項目。

事件記錄檔

具有進階安全性的 Windows 防火牆作業事件記錄是另一個資源,您可以用來檢視 Windows 防火牆原則變更。作業記錄始終會開啟,而且包含防火牆規則與連線安全性規則的事件。

檢視具有進階安全性的 Windows 防火牆事件記錄
  1. 開啟 [事件檢視器]。依序按一下 [開始][系統管理工具],然後按一下 [事件檢視器]

  2. 在瀏覽窗格中依序展開 [應用程式及服務記錄檔][Microsoft] 以及 [Windows],然後展開 [具有進階安全性的 Windows 防火牆]

  3. 按一下 [ConnectionSecurity][ConnectionSecurityVerbose][防火牆][FirewallVerbose]。根據預設值,不會啟用標示著 "詳細資訊" 的記錄。若要啟用它們,請按一下 [動作] 中的 [啟用記錄]

請參閱


目錄