Windowsファイアウォールのログを有効にする方法について、同様の記事や投稿を多数読んだことがあります。私はWin2k8r2サーバーを使用していますが、Active Directory、DC、ドメインなどの複雑なものはありません。この記事のほとんどすべてがGPOおよびそれを有効にすることを参照しています。システムにそれがなくても問題があります。コンソールから "gpmc.msc"を呼び出そうとしましたが、使用する前にインストールしてください。
次に、Windowsファイアウォールのログファイルの場所をD:\ pfirewalll.logに設定しました。 2つのファイル、prifrewall.logとpfirewall.log.oldが作成されます。これらには、必要なファイルシステム権限があります。そして、それらは常に空白です!
それをオンにする他のメカニズムがあるかどうかはわかりません。それを生きたものにするために、Windowsレジストリの何かを活用すべきですか?
よろしくお願いします!
利用可能な3つのプロファイルがあります(ドメイン/プライベート/パブリック)。 MMCの最上位ノード「セキュリティが強化されたWindowsファイアウォール」で、どのノードが「アクティブ」であるかを確認できます。アクティブなプロファイルが有効にしたプロファイルであることを確認し、ファイアウォールログを構成してください。 3つのプロファイルすべてに同じ設定を構成することも、それぞれに固有の構成を設定することもできます。
私の場合、それはWindows 2012R2をドメインコントローラーとして昇格した後に起こりました。
NT SERVICE\MPSSVCアカウントにC:\ Windows\System32\LogFiles\Firewallフォルダーに対するフルコントロールのアクセス許可を追加し、サーバーを再起動すると問題が解決しました。
ロギングを設定したファイアウォールUIで、実際にlogパケットに設定しましたか?
->「ドロップされたパケットのログ」および「成功した接続のログ」をYESに?
CM TraceやTrace 32などのログビューアでは、ファイアウォールログヘッダー以外の表示に問題があることがわかりました。メモ帳で開くと、正しくログが記録されていることがわかります。
チェックする1つのこと:ファイルが> 0KBですか?その場合、いくつかのアプリケーションがREAD権限をチェックしておらず、代わりに「空の」ファイルを表示しているようです。
ファイルは常に作成されていて、「セキュリティ権限の継承」がオフになっていて、ローカルアカウントであるにもかかわらず、ユーザーアカウントに対する読み取りアクセス権が明示的にありませんでした。
ユーザーアカウントを明示的に追加した後、コンテンツを開いて表示できます。
ただし、Windowsがログを再作成した場合(再起動後、またはログ設定の変更後)、権限は元に戻ります。