Если в Windows использовать встроенный брандмауэр (файрвол), то информация о заблокированных пакетах будет попадать в Журнал событий:
▶ ▶
Больше информации по ручному редактированию фильтра я нашёл здесь.
Включение журнала работы брандмауэра
Просто так в этом журнале логи от файрвол сразу не появляются, поэтому для начала нужно включить логгирование работы файрвол в него (на примере Public Profile):
▶ ▶ ▶ ▶ ▶ ▶ =
Теперь, если попытка соединения будет заблокирована, в журнале Security появится запись об этом событии. Чтобы не зарываться совсем глубоко в этот журнал, для отлова нужного нам события, можно воспользоваться фильтром. Нам нужны ID=5157 для отображения заблокированного соединения и ID=5152 для отлова заблокированного пакета (их необходимо указать через запятую):
Как видно из скриншота, графические настройки фильтра не предоставляют нам полную свободу действий. Например, для домашнего (или клиентского) компьютера мне совершенно не нужно видеть информацию о заблокированном входящем соединении. А таких записей в моём журнале преобладающее большинство. Это несомненно неудобно, а от поиска нужной информации теряешь немало времени. Настроим журнал под наши нужды!
Ручная настройка фильтра журнала
На скриншоте выше видно, что в этом окошке имеется ещё одна вкладка. Кроме текущей вкладки Filter есть ещё одна: XML — она то нам и нужна, нажимаем на эту вкладку.
В открывшемся окошке нужно включить режим ручного редактирования (чекбокс ), после чего подтвердить запрос:
Нажав на кнопку «Yes», вставим вместо старого кода запроса, наш новый:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5) and (EventID=5152 or EventID=5157)]]
and
*[EventData[Data[@Name='Direction'] != '%%14592']]
</Select>
</Query>
</QueryList>
Код можно оптимизировать и убрать лишнее:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=5152 or EventID=5157)]]
and
*[EventData[Data[@Name='Direction'] != '%%14592']]
</Select>
</Query>
</QueryList>
В коде запроса можно увидеть условие сравнения названия направления (Direction) со строкой ‘%%14592’. Я бы сам никогда не догадался, какое правильное обозначение для направления «Входящие», если бы не XML код события:
Теперь, при использовании фильтра, в списке Журнала событий нет входящих соединений.
- WordPress: Ошибка в плагине WpDiscuz - 08.10.2024
- Windows 10: Уменьшить размер виртуальной машины WSL - 06.10.2024
- Windows 10: Событие EventID 63 в Журнале Приложений - 28.09.2024