Le Pare-feu Windows avec sécurité avancée peut être configuré de manière à journaliser les événements qui indiquent les réussites et les échecs de ses processus. Les paramètres de journalisation englobent deux groupes de paramètres : ceux qui concernent le fichier journal proprement dit et ceux qui déterminent les événements à enregistrer dans le fichier. Les paramètres peuvent être configurés séparément pour chacun des profils de pare-feu.

Vous pouvez indiquer à quel endroit le fichier journal doit être créé, la taille maximale du fichier et si vous souhaitez que le fichier journal enregistre les informations sur les paquets ignorés et/ou sur les connexions réussies.

Pour accéder à cette boîte de dialogue
  1. Dans le composant logiciel enfichable MMC Pare-feu Windows avec sécurité avancée, dans Vue d’ensemble, cliquez sur Propriétés du Pare-feu Windows.

  2. Sélectionnez l’onglet qui correspond au profil de pare-feu pour lequel vous souhaitez configurer la journalisation.

  3. Dans Journalisation, cliquez sur Personnaliser.

Nom

Entrez le nom et le chemin d’accès au fichier dans lequel vous souhaitez que le Pare-feu Windows enregistre les informations. Si vous configurez un objet Stratégie de groupe pour un déploiement sur plusieurs ordinateurs, utilisez les variables d’environnement disponibles, telles que %windir%, afin de vous assurer que l’emplacement est correct pour chaque ordinateur du réseau.

Le simple fait de spécifier un emplacement de fichier ne démarre pas la journalisation. Vous devez également activer l’une des deux cases à cocher afin d’enregistrer les paquets ignorés ou les connexions réussies.

Important

Si vous configurez le paramètre pour un ordinateur qui exécute Windows Vista ou une version ultérieure de Windows et que vous spécifiez un emplacement autre que l’emplacement par défaut, vous devez vous assurer que le service Pare-feu Windows dispose des autorisations nécessaires pour écrire à cet emplacement.

Pour accorder des autorisations d’écriture pour le dossier de journal au service Pare-feu Windows
  1. Recherchez le dossier que vous avez spécifié pour le fichier journal, cliquez dessus avec le bouton droit, puis cliquez sur Propriétés.

  2. Cliquez sur l’onglet Sécurité, puis sur Modifier.

  3. Cliquez sur Ajouter, dans Entrez les noms des objets à sélectionner, tapez NT SERVICE\mpssvc, puis cliquez sur OK.

  4. Dans la boîte de dialogue Autorisations, vérifiez que MpsSvc dispose de l’accès Écriture, puis cliquez sur OK.

Taille maximale

Spécifiez la taille maximale jusqu’à laquelle le fichier est autorisé à croître. Cette valeur doit être comprise entre 1 et 32 767 kilo-octets (Ko).

Une fois la taille limite spécifiée atteinte, le Pare-feu Windows avec sécurité avancée ferme le fichier journal et le renomme en ajoutant « .old » à la fin du nom de fichier. Ensuite, il crée et utilise un nouveau fichier journal ayant le nom de fichier journal d’origine. Seuls deux fichiers sont conservés à tout moment. Si le second fichier atteint la taille maximale, il est renommé en ajoutant « .old » à la fin du nom et le fichier « .old » existant est supprimé.

Enregistrer les paquets ignorés

Cette option vous permet d’enregistrer à quel moment le Pare-feu Windows avec sécurité avancée ignore un paquet entrant pour une raison quelconque. Le journal enregistre la raison de cette non-prise en compte et le moment auquel le paquet a été ignoré. Recherchez les entrées avec le mot DROP dans la colonne action du journal.

Enregistrer les connexions réussies dans le journal

Cette option vous permet d’enregistrer à quel moment le Pare-feu Windows avec sécurité avancée autorise une connexion entrante. Le journal enregistre la raison et le moment auquel la connexion a été établie Recherchez les entrées avec le mot ALLOW dans la colonne action du journal.

Journal des événements

Le journal des événements d’opération du Pare-feu Windows avec sécurité avancée est une autre ressource qui permet de voir les modifications apportées à la stratégie de Pare-feu Windows. Le journal des opérations est toujours activé et contient des événements relatifs aux règles de pare-feu et aux règles de sécurité de connexion.

Pour afficher le journal des événements du Pare-feu Windows avec sécurité avancée
  1. Ouvrez l’Observateur d’événements. Cliquez sur Démarrer, sur Outils d’administration, puis sur Observateur d’événements.

  2. Dans le volet de navigation, développez Journaux des applications et des services, Microsoft, Windows, puis Windows Firewall With Advanced Security.

  3. Cliquez sur SécuritéConnexion, DétailsSécuritéConnexion, PareFeu ou DétailsPareFeu. Les journaux marqués « Détails » ne sont pas activés par défaut. Pour les activer, dans Actions, cliquez sur Activer le journal.

Voir aussi


Table des matières