EventViewer: Не отображать заблокированные входящие соединения

Добавить комментарий

Если в Windows использовать встроенный брандмауэр (файрвол), то информация о заблокированных пакетах будет попадать в Журнал событий:
Event ViewerWindows LogSecurity

Вообще записи о входящих соединениях появляются в Журнале в том случае, если открыт порт, то есть работает сервер (служба). В моём случае это был торрент, но я не хочу закрывать qBittorrent, чтобы не видеть логи файрвола, так что использую данную инструкцию, чтобы их скрыть.
Больше информации по ручному редактированию фильтра я нашёл здесь.

 

Включение журнала работы брандмауэра

Просто так в этом журнале логи от файрвол сразу не появляются, поэтому для начала нужно включить логгирование работы файрвол в него (на примере Public Profile):
Windows Defender Firewall with Advanced SecurityWindows Defender Firewall with Advanced Security on Local ComputerPropertiesPublic ProfileLoggingCustomizeLog dropped packets = Yes

Теперь, если попытка соединения будет заблокирована, в журнале Security появится запись об этом событии. Чтобы не зарываться совсем глубоко в этот журнал, для отлова нужного нам события, можно воспользоваться фильтром. Нам нужны ID=5157 для отображения заблокированного соединения и ID=5152 для отлова заблокированного пакета (их необходимо указать через запятую):
EventViewer: Не отображать заблокированные входящие соединения

Как видно из скриншота, графические настройки фильтра не предоставляют нам полную свободу действий. Например, для домашнего (или клиентского) компьютера мне совершенно не нужно видеть информацию о заблокированном входящем соединении. А таких записей в моём журнале преобладающее большинство. Это несомненно неудобно, а от поиска нужной информации теряешь немало времени. Настроим журнал под наши нужды!

Ручная настройка фильтра журнала

На скриншоте выше видно, что в этом окошке имеется ещё одна вкладка. Кроме текущей вкладки Filter есть ещё одна: XML — она то нам и нужна, нажимаем на эту вкладку.
В открывшемся окошке нужно включить режим ручного редактирования (чекбокс Edit query manually), после чего подтвердить запрос:
EventViewer: Не отображать заблокированные входящие соединения

Нажав на кнопку «Yes», вставим вместо старого кода запроса, наш новый:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5) and (EventID=5152 or EventID=5157)]]
      and
      *[EventData[Data[@Name='Direction'] != '%%14592']]
    </Select>
  </Query>
</QueryList>

Код можно оптимизировать и убрать лишнее:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[System[(EventID=5152 or EventID=5157)]]
      and
      *[EventData[Data[@Name='Direction'] != '%%14592']]
    </Select>
  </Query>
</QueryList>

В коде запроса можно увидеть условие сравнения названия направления (Direction) со строкой ‘%%14592’. Я бы сам никогда не догадался, какое правильное обозначение для направления «Входящие», если бы не XML код события:
EventViewer: Не отображать заблокированные входящие соединения

Теперь, при использовании фильтра, в списке Журнала событий нет входящих соединений.

DenTNT
DenTNT недавно публиковал (посмотреть все)


Подписаться
Уведомление о
guest
0 Комментарий
Inline Feedbacks
View all comments