Die Windows-Firewall mit erweiterten Sicherheitseinstellungen kann so konfiguriert werden, dass Ereignisse protokolliert werden, die auf die erfolgreiche oder fehlerhafte Ausführung ihrer Prozesse hinweisen. Die Protokollierung betrifft zwei Gruppen von Einstellungen: Einstellungen für die Protokolldatei selbst und Einstellungen, die bestimmen, welche Ereignisse in dieser Datei aufgezeichnet werden. Die Einstellungen können separat für jedes Firewallprofil konfiguriert werden.
Sie können angeben, wo die Protokolldatei erstellt wird, wie groß sie werden kann und ob Informationen über verworfene Pakete, erfolgreiche Verbindungen oder beides aufgezeichnet werden sollen.
So öffnen Sie dieses Dialogfeld |
Klicken Sie im MMC-Snap-In Windows-Firewall mit erweiterten Sicherheitseinstellungen unter Übersicht auf Windows-Firewalleigenschaften.
Wählen Sie die Registerkarte für das Firewallprofil aus, für das Sie die Protokollierung konfigurieren möchten.
Klicken Sie unter Protokollierung auf Anpassen.
Name
Geben Sie den Pfad und Namen der Datei ein, in die Protokollinformationen der Windows-Firewall geschrieben werden sollen. Wenn Sie ein Gruppenrichtlinienobjekt für die Bereitstellung auf mehreren Computern konfigurieren, sollten Sie die verfügbaren Umgebungsvariablen, z. B. %windir%,, verwenden, um sicherzustellen, dass für jeden Computer im Netzwerk der richtige Speicherort angegeben wird.
Durch die Angabe eines Dateipfads wird die Protokollierung noch nicht gestartet. Sie müssen auch eines der folgenden Kontrollkästchen aktivieren, um Informationen zu verworfenen Paketen oder erfolgreichen Verbindungen zu protokollieren.
Wichtig | |
Wenn Sie die Einstellung für einen Computer unter Windows Vista oder einer späteren Version von Windows konfigurieren und nicht den Standardaufenthaltsort angeben, müssen Sie sicherstellen, dass der Windows-Firewalldienst über die Berechtigung zum Schreiben an diesem Speicherort verfügt. |
So gewähren Sie dem Windows-Firewalldienst Schreibberechtigungen für den Protokollordner |
Navigieren Sie zu dem Ordner, den Sie für die Protokolldatei angegeben haben, klicken Sie mit der rechten Maustaste darauf, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf die Registerkarte Sicherheit, und klicken Sie dann auf Bearbeiten.
Klicken Sie auf Hinzufügen, geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen NT SERVICE\mpssvc ein, und klicken Sie dann auf OK.
Überprüfen Sie im Dialogfeld Berechtigungen, ob MpsSvc über Schreibzugriff verfügt, und klicken Sie dann auf OK.
Größenlimit
Geben Sie die maximale Größe für die Datei an. Der Wert muss zwischen 1 und 32.767 KB liegen.
Sobald die Datei die Maximalgröße erreicht hat, wird die Protokolldatei von der Windows-Firewall mit erweiterten Sicherheitseinstellungen geschlossen und umbenannt, indem am Ende des Dateinamens der Zusatz ".old" hinzugefügt wird. Anschließend wird eine neue Protokolldatei erstellt und verwendet, die den Namen der ursprünglichen Protokolldatei erhält. Es sind immer nur zwei Dateien gleichzeitig vorhanden. Wenn die zweite Datei die Maximalgröße erreicht hat, wird sie umbenannt, indem der Zusatz ".old" hinzugefügt wird. Die ursprüngliche OLD-Datei wird verworfen.
Verworfene Pakete protokollieren
Verwenden Sie diese Option, um zu protokollieren, wann eingehende Pakete aus beliebigem Grund von der Windows-Firewall mit erweiterten Sicherheitseinstellungen verworfen werden. Im Protokoll wird aufgezeichnet, warum und wann das Paket verworfen wurde. Suchen Sie in der Spalte Aktion des Protokolls nach Einträgen mit dem Wort DROP.
Erfolgreiche Verbindungen protokollieren
Verwenden Sie diese Option, um zu protokollieren, wann eingehende Pakete von der Windows-Firewall mit erweiterten Sicherheitseinstellungen zugelassen werden. Im Protokoll wird aufgezeichnet, warum und wann die Verbindung aufgebaut wurde. Suchen Sie in der Spalte Aktion des Protokolls nach Einträgen mit dem Wort ALLOW.
Ereignisprotokoll
Das Betriebsereignisprotokoll der Windows-Firewall mit erweiterten Sicherheitseinstellungen ist eine weitere Quelle, die Informationen zu Änderungen an Windows-Firewallrichtlinien enthält. Das Betriebsprotokoll ist stets aktiviert und protokolliert Ereignisse, die Firewallregeln und Verbindungssicherheitsregeln betreffen.
So zeigen Sie das Ereignisprotokoll der Windows-Firewall mit erweiterter Sicherheit an |
Öffnen Sie die Ereignisanzeige. Klicken Sie auf Start, klicken Sie auf Verwaltung, und klicken Sie dann auf Ereignisanzeige.
Erweitern Sie im Navigationsbereich den Knoten Anwendungs- und Dienstprotokolle, erweitern Sie Microsoft und danach Windows, und erweitern Sie schließlich Windows-Firewall mit erweiterter Sicherheit.
Klicken Sie auf ConnectionSecurity, ConnectionSecurityVerbose, Firewall oder FirewallVerbose. Die mit "verbose" markierten Protokolle sind standardmäßig nicht aktiviert. Klicken Sie unter Aktionen auf Protokoll aktivieren, um sie zu aktivieren.