troushoo

ファイアウォールのログ確認(auditpol.exe・wf.msc・netsh)

ネットワークトラブルの原因としてWindows ファイアウォールの設定ミスの場合が多数あります。
今回はWindows ファイアウォールの設定を確認する方法として、audiotpol.exe・wf.msc・netshを使用したファイアウォールのログの設定・確認する方法を記述します。

テスト環境
以下のように、ウェブサーバー側で誤ってポート8080がWindows ファイアウォールでブロックされている環境を考えます。

[audiopol.exe]
後述する二つの方法と違い、ログをテキストファイルでなくイベントビューアーで確認することができます。

1. ウェブサーバー側で管理者権限のコマンドプロンプトを開き以下のコマンドを実行します。
auditpol /set /subcategory:"フィルタリング プラットフォームの接続" /success:enable /failure:enable

2. クライアントからウェブサーバーにアクセスし、アクセスできないことを確認します。

3. ウェブサーバー側のeventvwr.msc(イベントビューアー)を開きます。
4. Windowsログのセキュリティに"失敗の監査"がログされており、"Windows フィルターリング プラットフォームで、接続がブロックされました。"・"ソース ポート 8080"が出力している確認します。

5. ログ出力を止めるには以下のコマンドを実行します。
auditpol /set /subcategory:"フィルタリング プラットフォームの接続" /success:disable /failure:disable

[wf.msc]
GUIを用いて設定することができます。ログはテキストファイルで出力されます。

1. ウェブサーバー側のwf.msc(セキュリティが強化された Windows ファイアウォール)を開きます。
2. "ローカル コンピューター のセキュリティが強化された Windows ファイアウォール"を右クリックしプロパティを開きます。

3. プロファイルが3つありますが、外套のプロファイルの"ログ"の"カスタマイズ"をクリックします。

4. 設定を行います。ログの記録を"はい"にしてください。

5. 設定したパス(デフォルトはC:\Windows\System32\LogFiles\Firewall\pfirewall.log)にログが出力されていることを確認します。
ログは以下のように表示されます。
dst-portが8080のものが"DROP"されていることがわかります。

ログの詳細についてはマイクロソフトのサイトInterpreting the Windows Firewall Logを参照ください。

netsh
上記のwf.mscの設定をCUIで行う方法です。

1. 管理者権限のコマンドプロンプトでnetshを実行し、以下のコマンドを実行します。
advfirewall set allprofiles logging allowedconnections enable
advfirewall set allprofiles logging droppedconnections enable

2. C:\Windows\System32\LogFiles\Firewall\pfirewall.logにログが出力されていることを確認します。
ログは以下のように表示されます。
dst-portが8080のものが"DROP"されていることがわかります。

ログの詳細についてはマイクロソフトのサイトInterpreting the Windows Firewall Logを参照ください。
3. ログの出力を止めるには以下のコマンドを実行します。
advfirewall set allprofiles logging allowedconnections disable
advfirewall set allprofiles logging droppedconnections disable

リンク
Enabling Audit Events for Windows Firewall with Advanced Security
http://technet.microsoft.com/en-us/library/ff428143(WS.10).aspx
・Configure the Windows Firewall Log
http://technet.microsoft.com/en-us/library/cc947815(WS.10).aspx
・Troubleshooting Firewall-Related Issues
http://msdn.microsoft.com/en-us/library/windows/desktop/bb736284(v=vs.85).aspx
・Interpreting the Windows Firewall Log
http://technet.microsoft.com/en-us/library/cc758040(WS.10).aspx


  1. 2012/02/13(月) 16:13:51|
  2. ネットワーク
  3. | トラックバック:0
  4. | コメント:2
<<[sos]!SaveModule:ダンプファイルからイメージを抽出 | ホーム | JustDecompileで.NETアプリのデコンパイル>>

コメント

ウィンドウズ7の標準FWのログをイベントビューアで確認できる方法を探してたどり着きました。
テキストのログとは違い、実行したアプリケーションまで確認できるので便利ですね。
大変助かりました
  1. 2012/08/25(土) 22:20:47 |
  2. URL |
  3. #-
  4. [ 編集 ]

コメントありがとうございます。
今後ともよろしくお願いします。
  1. 2012/08/26(日) 14:20:32 |
  2. URL |
  3. 管理人 #-
  4. [ 編集 ]

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://troushoo.blog.fc2.com/tb.php/34-83a0d27a
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (92)
ネットワーク (76)
Visual Studio (56)
SOS・Psscor2/Psscor4 (25)
WinDbg (25)
Linux (24)
Azure (17)
Tips (20)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する