必须查看windows防火墙安全日志以排查网络异常、确认程序拦截或审计策略变更,途径有三:一、启用pfirewall.log记录丢弃包与连接;二、事件查看器筛选id 5156/5157的wfp决策事件;三、筛选id 2003的防火墙启停与策略变更事件。
如果您需要排查网络连接异常、确认某程序是否被防火墙拦截,或审计系统安全策略变更,则必须查看 Windows 系统自带防火墙生成的安全日志。这些日志分散在不同机制中,需根据具体需求启用对应记录方式并筛选有效事件。以下是三种独立可行的日志获取路径:
一、启用并读取高级安全防火墙的 pfirewall.log 文件
该日志由 Windows Defender 防火墙主动写入文本文件,记录被允许或丢弃的数据包详情,但默认处于关闭状态,需手动开启并指定路径与大小限制。
1、按 Win + R 键打开运行框,输入 wf.msc 并回车,启动“高级安全 Windows 防火墙”控制台。
2、在左侧面板点击 Windows 防火墙属性。
3、依次切换至“域配置文件”、“专用配置文件”、“公用配置文件”三个选项卡。
4、在每个选项卡的“日志”区域,点击 自定义 按钮。
5、勾选 记录被丢弃的数据包 和 记录成功的连接,将日志路径设为 C:\Windows\System32\LogFiles\Firewall\pfirewall.log,最大大小不低于 4096 KB。
6、逐个点击确定保存,确保三类网络配置文件均完成配置。
7、日志文件生成后,可用记事本或 PowerShell 命令 Get-Content C:\Windows\System32\LogFiles\Firewall\pfirewall.log -Tail 50 实时查看末尾新增条目。
二、通过事件查看器筛选 WFP 连接决策事件(ID 5156 / 5157)
Windows 筛选平台(WFP)自动在系统安全日志中记录每一条连接放行或拦截动作,无需预启日志功能,但依赖“审核对象访问”策略已启用,且仅记录内核层决策结果。
1、右键“此电脑”,选择 管理,进入“计算机管理”界面。
2、展开左侧树形菜单:系统工具 → 事件查看器 → Windows 日志 → 安全。
3、右侧操作面板中,点击 筛选当前日志。
4、在“事件ID”栏输入 5156,5157,点击确定。
5、列表中显示的事件包含源IP地址、目标端口、进程完整路径、应用层筛选器名称等字段,双击任一事件可展开详细 XML 数据。
三、定位防火墙启停与策略变更记录(事件ID 2003)
当防火墙整体开关状态改变、规则增删、配置文件启用/禁用时,系统会向“应用程序和服务日志”中写入结构化事件,该路径独立于安全日志,专用于策略审计。
1、按 Win + R 输入 eventvwr.msc 打开事件查看器。
2、导航至:应用程序和服务日志 → Microsoft → Windows → 高级安全 Windows 防火墙 (Windows Firewall With Advanced Security)。
3、右键“Firewall”节点,选择 筛选当前日志。
4、在“事件ID”框中填入 2003,点击确定。
5、每条记录含时间戳、修改用户(如 ***\***duat)、修改应用(如 dllhost.exe)及具体变更项,例如 Value: No 表示对应配置文件的防火墙已被禁用。
