يمكن تكوين جدار حماية Windows مع أمان متقدم لتسجيل الأحداث التي تشير إلى نجاح العمليات الخاصة به وفشلها. تتضمن إعدادات التسجيل مجموعتين من الإعدادات: إعدادات ملف السجل نفسه والإعدادات التي تحدد الأحداث التي سيسجلها الملف. يمكن تكوين الإعدادات بشكل منفصل لكل ملف تعريف من ملفات تعريف جدار الحماية.
ويمكنك تحديد مكان إنشاء ملف السجل وإلى أي مدى يمكن أن يصل حجم الملف، وكذلك تحديد ما إذا كنت ترغب في قيام ملف السجل بتسجيل معلومات حول الحزم المسقطة أو الاتصالات الناجحة أو كليهما.
الوصول إلى مربع الحوار هذا |
من الأداة الإضافية جدار حماية Windows مع أمان متقدم MMC، ضمن Overview، انقر فوق Windows Firewall properties.
قم بتحديد علامة التبويب الخاصة بملف تعريف جدار الحماية الذي ترغب في تكوين التسجيل له.
ضمن Logging، انقر فوق Customize.
Name
أدخل مسار الملف واسمه الذي ترغب في قيام "جدار حماية Windows" (Windows Firewall) بكتابة معلومات السجل به. وإذا كنت تقوم بتكوين كائن "نهج المجموعة" (Group Policy object) (GPO) للنشر على أجهزة كمبيوتر متعددة، استخدم متغيرات البيئة المتوفرة، مثل %windir%، للتأكد من أن الموقع صحيح لكل كمبيوتر موجود على الشبكة الخاصة بك.
فتحديد موقع الملف فقط لا يؤدي إلى بدء التسجيل. ويجب أيضاً القيام بتحديد إحدى خانتي الاختيار لتسجيل الحزم المسقطة أو الاتصالات الناجحة.
هام | |
إذا كنت تقوم بتكوين الإعداد لكمبيوتر يعمل باستخدام Windows Vista أو نسخة حديثة من Windows، وقمت بتحديد موقع آخر غير الموقع الافتراضي، يجب التأكد من أن خدمة Windows Firewall لديها إذن الكتابة على هذا الموقع. |
منح أذونات الكتابة على مجلد السجل لخدمة Windows Firewall |
قم بتحديد موقع المجلد الخاص بملف السجل،ثم انقر بزر الماوس الأيمن فوقه ، ثم انقر فوق Properties.
انقر فوق علامة التبويب Security، ثم فوق Edit.
انقر فوق Add، ثم ضمن Enter object names to select، قم بكتابة NT SERVICE\mpssvc، ثم انقر فوق OK.
في مربع الحوار Permissions، تحقق من أن MpsSvc لديه حق الوصول Write، ثم انقر فوق OK.
Size limit
قم بتحديد الحد الأقصى لحجم للملف الذي يتم السماح للملف بالوصول إليه. يجب أن تكون القيمة ما بين 1 و 32.767 كيلوبايت.
عند الوصول إلى حد الحجم المحدد، يقوم جدار حماية Windows مع أمان متقدم بإغلاق ملف السجل وإعادة تسميته عن طريق إضافة "old." إلى نهاية اسم الملف. ويقوم بعد ذلك بإنشاء ملف سجل جديد له نفس اسم ملف السجل الأصلي واستخدامه. يتم الاحتفاظ بملفين فقط في المرة الواحدة. إذا وصل الملف الثاني إلى الحد الأقصى للحجم، فسيتم إعادة تسميته عن طريق إضافة "old."، ويتم تجاهل الملف "old." الأصلي.
Log dropped packets
استخدم هذا الخيار للتسجيل عندما يقوم جدار حماية Windows مع أمان متقدم بتجاهل حزمة واردة لأي سبب. يقوم السجل بتسجيل سبب إسقاط الحزمة ووقته. قم بالبحث عن إدخالات تحتوي على الكلمة DROP في العمود action الخاص بالسجل.
Log successful connections
استخدم هذا الخيار للتسجيل عندما يقوم جدار حماية Windows مع أمان متقدم بالسماح لاتصال وارد. يقوم السجل بتسجيل سبب تكوين الاتصال ووقته. قم بالبحث عن إدخالات تحتوي على الكلمة ALLOW في العمود action الخاص بالسجل.
"سجل الأحداث" (Event log)
سجل أحداث عمليات جدار حماية Windows مع أمان متقدم هو مورد آخر يمكنك استخدامه لعرض تغييرات نهج Windows Firewall. يكون سجل العمليات دوماً في حالة التشغيل ويحتوي على أحداث لكل من قواعد جدار الحماية وقواعد أمان الاتصال.
عرض سجل أحداث Windows Firewall with Advanced Security |
قم بفتح Event Viewer. انقر فوق Start، ثم فوق Administrative Tools، ثم انقر فوق Event Viewer.
في جزء التنقل، قم بتوسيع Applications and Services Logs، ثم قم بتوسيع Microsoft، وتوسيع Windows، ثم قم بتوسيع Windows Firewall with Advanced Security.
انقر فوق ConnectionSecurity أو ConnectionSecurityVerbose أو Firewall أو FirewallVerbose. لا يتم تمكين السجلات التي يتم تمييزها بـ "verbose" بشكل افتراضي. ولتمكينها، ضمن Actions، انقر فوق Enable Log.