O Firewall do Windows com Segurança Avançada pode ser configurado para registrar eventos que indicam os êxitos e falhas de seus processos. As configurações de log abrangem dois grupos de configurações: configurações do arquivo de log propriamente dito e configurações que determinam quais eventos o arquivo registrará. As configurações podem ser definidas separadamente para cada um dos perfis do firewall.
Você pode especificar o local em que o arquivo de log será criado, o tamanho máximo que poderá atingir e se deverá registrar informações sobre pacotes eliminados, conexões bem-sucedidas ou ambos.
Para acessar esta caixa de diálogo |
No snap-in do MMC do Firewall do Windows com Segurança Avançada, em Visão geral, clique em Propriedades do Firewall do Windows.
Selecione a guia que corresponde ao perfil do firewall para o qual você deseja configurar o registro em log.
Em Log, clique em Personalizar.
Nome
Digite o caminho e o nome do arquivo no qual você deseja que o Firewall do Windows grave suas informações de log. Se você estiver configurando um GPO (Objeto de Diretiva de Grupo) para a implantação em diversos computadores, use as variáveis do ambiente disponíveis, como %windir%, para garantir que o local esteja correto para cada computador na sua rede.
Apenas a especificação do local de um arquivo não inicia o registro em log. Você também deve marcar uma das duas caixas de seleção para registrar os pacotes ignorados ou conexões bem-sucedidas em log.
Importante | |
Se você estiver configurando a definição de um computador executando o Windows Vista ou uma versão posterior do Windows e especificar um local diferente do padrão, será necessário verificar se o serviço do Firewall do Windows tem permissões para gravar nesse local. |
Para conceder permissões de gravação para a pasta de log para o serviço de Firewall do Windows |
Localize a pasta especificada para o arquivo de log, clique com o botão direito nela e clique em Propriedades.
Clique na guia Segurança e, em seguida, clique em Editar.
Clique em Adicionar, em Digite os nomes de objeto a serem selecionados, digite NT SERVICE\mpssvc e clique em OK.
Na caixa de diálogo Permissões, verifique se MpsSvc tem acesso de Gravação e clique em OK.
Limite de tamanho
Especifique até que tamanho o arquivo pode crescer. O valor deve estar entre 1 e 32.767 quilobytes (KB).
Quando o limite de tamanho é alcançado, o Firewall do Windows com Segurança Avançada fecha o arquivo de log e o renomeia adicionando ".old" ao final do nome do arquivo. Em seguida ele cria e usa um novo arquivo de log que tem o nome do arquivo log original. Apenas dois arquivos são mantidos por vez. Se o segundo arquivo atingir o tamanho máximo, ele será renomeado adicionando “.old”, e o arquivo “.old” original será descartado.
Registrar em log pacotes eliminados
Use essa opção para registrar em log quando o Firewall do Windows com Segurança Avançada descartar um pacote de entrada por alguma razão. O log registra por que e quando o pacote foi eliminado. Procure por entradas com a palavra DESCARTAR na coluna ação do arquivo de log.
Registrar em log as conexões bem-sucedidas
Use essa opção para registrar em log quando o Firewall do Windows com Segurança Avançada permitir uma conexão de entrada. O log registra por que e quando a conexão foi formada. Procure por entradas com a palavra PERMITIR na coluna ação do arquivo de log.
Log de eventos
O log de eventos operacionais do Firewall do Windows com Segurança Avançada é outro recurso que pode ser usado para exibir as alterações da diretiva do Firewall do Windows. O log operacional está sempre ativado e contém eventos para as regras de firewall e para as regras de segurança de conexão.
Para exibir o log de eventos do Firewall do Windows com Segurança Avançada |
Abra o recurso Visualizador de eventos. Clique em Iniciar, em Ferramentas Administrativas e em Visualizador de Eventos.
No painel de navegação, expanda Logs de Aplicativos e Serviços, expanda Microsoft, expanda Windows e expanda Firewall do Windows com Segurança Avançada.
Clique em ConnectionSecurity, ModoDetalhadoSegurançaConexão, Firewall ou ModoDetalhadoFirewall. Os logs marcados com “modo detalhado” não estão ativados por padrão. Para ativá-los, em Ações, clique em Habilitar Log.