Я прочитал много похожих статей и сообщений о том, как включить ведение журнала брандмауэра Windows. У меня Win2k8r2 сервер без Active Directory, DC, доменов и прочего сложного. Почти вся эта статья ссылается на GPO и его включение. Проблема у меня даже в системе нет. Я попытался вызвать "gpmc.msc" с моей консоли, но мне кажется, что я должен установить его перед использованием.
Затем я установил местоположение файла журнала брандмауэра Windows на D: \ pfirewalll.log. Он создает два файла: prifrewall.log и pfirewall.log.old. У них есть все необходимые разрешения файловой системы. И они всегда пустые!
Я не знаю, есть ли другие механизмы, чтобы включить его. Следует ли мне использовать что-то в реестре Windows, чтобы оно стало живым?
Заранее спасибо, ребята!
Доступно 3 профиля (домен / частный / общедоступный). Вы можете просмотреть, какие из них «активны», в верхнем узле «Брандмауэр Windows в режиме повышенной безопасности» MMC. Убедитесь, что активен именно тот профиль, который вы включили, и настройте ведение журнала брандмауэра. Вы можете настроить одинаковые параметры для всех трех профилей или создать уникальную конфигурацию для каждого.
В моем случае это произошло после продвижения Windows 2012R2 в качестве контроллера домена.
Добавление NT СЕРВИС \ MPSSVC учетная запись с разрешениями Full Controll на C: \ Windows \ System32 \ LogFiles \ Брандмауэр папка и перезапуск сервера решил мою проблему.
Одна вещь, которую нужно проверить: файл> 0 КБ? Если это так, похоже, несколько приложений не проверяют разрешение READ, а вместо этого просто отображают «пустой» файл.
Файл всегда создавался с отключенным «наследованием разрешений безопасности» и явно не имел доступа на чтение для моей учетной записи (несмотря на то, что я был локальным администратором).
После явного добавления своей учетной записи я могу открывать и просматривать содержимое.
Однако, если Windows заново создает журнал (после перезагрузки или изменения параметров журнала), разрешения возвращаются обратно.
Я обнаружил, что такие программы просмотра журналов, как CM Trace или Trace 32, не могут просматривать ничего, кроме заголовков журналов брандмауэра. Если вы откроете его с помощью блокнота, я думаю, вы обнаружите, что он правильно регистрируется.
В пользовательском интерфейсе брандмауэра, где вы настроили ведение журнала, вы установили его на самом деле журнал пакеты?
-> «Регистрировать отброшенные пакеты» и «Регистрировать успешные соединения» на ДА?