Windowsファイアウォールログを使用してファイアウォールの活動を追跡する方法

インターネットトラフィックをフィルタリングする過程で、すべてのファイアウォールには、ファイアウォールがさまざまな種類のトラフィックを処理する方法を文書化した、ある種のログ機能があります。これらのログは、送信元および宛先のIPアドレス、ポート番号、プロトコルなどの貴重な情報を提供します。 Windowsファイアウォールのログファイルを使用して、TCPとUDPの接続、およびファイアウォールによってブロックされているパケットを監視することもできます。.

ファイアウォールロギングが有用な理由と時期

1. 新しく追加されたファイアウォールルールが適切に機能するかどうかを確認するか、または期待どおりに機能しない場合はそれらをデバッグする.
2. Windowsファイアウォールがアプリケーション障害の原因であるかどうかを判断するにはファイアウォールのログ機能を使用すると、無効なポート開口部、動的ポート開口部の確認、プッシュフラグと緊急フラグによるドロップパケットの分析、および送信パスでのドロップパケットの分析を行えます.
3. 悪意のある活動を支援して特定する - ファイアウォールのログ機能を使用すると、悪意のある活動がネットワーク内で発生しているかどうかを確認できます。ただし、活動の原因を突き止めるために必要な情報は提供されません。.
4. 1つのIPアドレス（またはIPアドレスのグループ）からファイアウォールや他のハイプロファイルシステムへのアクセスに繰り返し失敗したことに気付いた場合は、そのIPスペースからすべての接続を切断するルールを作成することをお勧めします。 IPアドレスは偽装されていません）.
5. Webサーバーなどの内部サーバーからの発信接続は、他のネットワーク上にあるコンピューターに対する攻撃を仕掛けるためにユーザーがシステムを使用していることを示している可能性があります。.

ログファイルを生成する方法

デフォルトでは、ログファイルは無効になっています。つまり、ログファイルに情報は書き込まれません。ログファイルを作成するには、「Winキー+ R」キーを押して「ファイル名を指定して実行」ボックスを開きます。 「wf.msc」と入力してEnterキーを押します。 「セキュリティが強化されたWindowsファイアウォール」画面が表示されます。画面の右側にある[プロパティ]をクリックします。

新しいダイアログボックスが表示されます。それでは「Private Profile」タブをクリックし、「Logging Section」で「Customize」を選択してください。

新しいウィンドウが開き、その画面から最大ログサイズ、場所、およびドロップされたパケットのみをログに記録するか、接続に成功するか、あるいはその両方を選択するかを選択します。ドロップされたパケットは、Windowsファイアウォールがブロックしたパケットです。接続に成功するとは、着信接続とインターネット経由で確立した接続の両方を指しますが、侵入者がコンピュータに正常に接続したとは限りません。.

既定では、Windowsファイアウォールはログエントリをに書き込みます。 ％SystemRoot％\ System32 \ LogFiles \ Firewall \ Pfirewall.log 最後の4 MBのデータのみを格納します。ほとんどの実稼働環境では、このログは常にハードディスクに書き込まれます。ログファイルのサイズ制限を変更すると（長期間にわたるアクティビティを記録するため）、パフォーマンスに影響を与える可能性があります。このため、問題を積極的にトラブルシューティングする場合にのみログ記録を有効にし、終了したら直ちにログ記録を無効にする必要があります。.

次に、「Public Profile」タブをクリックし、「Private Profile」タブと同じ手順を繰り返します。これで、プライベートネットワーク接続とパブリックネットワーク接続の両方のログが有効になりました。ログファイルはW3C拡張ログフォーマット（.log）で作成され、選択したテキストエディタで調べることも、スプレッドシートにインポートすることもできます。単一のログファイルには何千ものテキストエントリが含まれる可能性があるため、メモ帳でそれらを読み取っている場合は、列の書式設定を維持するためにワードラップを無効にします。スプレッドシートでログファイルを表示している場合は、分析を容易にするためにすべてのフィールドが論理的に列に表示されます。.

「セキュリティが強化されたWindowsファイアウォール」のメイン画面で、「監視」リンクが表示されるまで下にスクロールします。詳細ペインの[ログ設定]で、[ファイル名]の横にあるファイルパスをクリックします。ログがメモ帳で開きます。.

Windowsファイアウォールログを解釈する

Windowsファイアウォールのセキュリティログには2つのセクションがあります。ヘッダはログのバージョンと利用可能なフィールドについての静的で記述的な情報を提供します。ログの本文は、ファイアウォールを通過しようとするトラフィックの結果として入力されたコンパイル済みデータです。これは動的なリストであり、新しいエントリがログの末尾に表示され続けます。フィールドはページ全体にわたって左から右に書かれています。フィールドに使用可能なエントリがない場合は（ - ）が使用されます。.

Microsoft Technetの資料によると、ログファイルのヘッダーには以下が含まれています。

バージョン - インストールされているWindowsファイアウォールセキュリティログのバージョンを表示します。.
ソフトウェア - ログを作成しているソフトウェアの名前を表示します。.
Time - ログ内のすべてのタイムスタンプ情報が現地時間であることを示します.
フィールド - データが利用可能な場合、セキュリティログエントリに利用可能なフィールドのリストを表示します。.

ログファイルの本文には以下が含まれます。

date - 日付フィールドは、YYYY-MM-DDの形式で日付を識別します。.
time - 現地時間は、HH：MM：SSの形式でログファイルに表示されます。時間は24時間形式で参照されます.
action - ファイアウォールがトラフィックを処理するにつれて、特定のアクションが記録されます。ログに記録されたアクションは、接続をドロップするためのDROP、接続を開くためのOPEN、接続を閉じるためのCLOSE、ローカルコンピュータに対して開かれたインバウンドセッションのためのOPEN-INBOUND、およびWindowsファイアウォールによって処理されたイベントのINFO-EVENTS-LOSTです。セキュリティログに記録されていない.
protocol - TCP、UDP、またはICMPなどの使用プロトコル.
src-ip - 送信元IPアドレス（通信を確立しようとしているコンピュータのIPアドレス）を表示します。.
dst-ip - 接続試行の宛先IPアドレスを表示します.
src-port - 接続が試行された送信側コンピュータのポート番号.
dst-port - 送信側コンピュータが接続しようとしていたポート.
size - パケットサイズをバイト数で表示します.
tcpflags - TCPヘッダ内のTCP制御フラグに関する情報.
tcpsyn - パケット内のTCPシーケンス番号を表示します.
tcpack - パケット内のTCP確認応答番号を表示します.
tcpwin - パケット内のTCPウィンドウサイズをバイト単位で表示します。.
icmptype - ICMPメッセージに関する情報.
icmpcode - ICMPメッセージに関する情報.
info - 発生したアクションの種類に応じたエントリを表示します.
path - 通信の方向を表示します。使用可能なオプションはSEND、RECEIVE、FORWARD、およびUNKNOWNです。.

お気づきのとおり、ログ項目は実際には大きく、各イベントに関連して最大17個の情報が含まれている可能性があります。ただし、最初の8つの情報だけが一般的な分析に重要です。あなたの手の中の詳細で、あなたは悪意のある活動のために情報を分析するか、またはアプリケーション失敗をデバッグすることができます.

悪意のある活動が疑われる場合は、メモ帳でログファイルを開き、アクションフィールドにDROPを指定してすべてのログエントリをフィルタリングし、宛先IPアドレスが255以外の数字で終わっているかどうかをメモします。パケットの宛先IPアドレスのメモ。問題のトラブルシューティングが終了したら、ファイアウォールのログ記録を無効にすることができます。.

ネットワークの問題のトラブルシューティングは非常に困難な場合があり、Windowsファイアウォールのトラブルシューティングでネイティブログを有効にすることをお勧めします。 Windowsファイアウォールのログファイルはネットワークの全体的なセキュリティを分析するのには役立ちませんが、舞台裏で何が起こっているのかを監視したい場合は依然として有効な方法です。.