windows defender 防火墙日志可通过四种方式启用:一、高级安全控制台手动配置三类网络配置文件;二、组策略编辑器统一部署;三、powershell 批量设置并验证;四、intune 云端远程策略分发。
一、通过高级安全 Windows 防火墙控制台启用日志
Windows Defender 防火墙默认不启用日志记录功能,需手动在“高级安全 Windows 防火墙”中为域、专用和公用三种网络配置文件分别配置日志选项。启用后,系统将按指定路径生成 pfirewall.log 文件,持续记录被允许或被阻止的连接事件。
1、按下 Win + R 组合键,输入 wf.msc 并回车,打开高级安全 Windows 防火墙管理控制台。
2、在左侧面板中,右键点击“高级安全 Windows 防火墙(本地)”,选择“属性”。
3、依次切换至“域配置文件”、“专用配置文件”、“公用配置文件”三个选项卡。
4、在每个选项卡下的“日志”区域,点击“自定义”按钮。
5、勾选“记录被丢弃的数据包”和“记录成功的连接”,设置日志文件路径为 C:\Windows\System32\LogFiles\Firewall\pfirewall.log,并设定日志最大大小(建议不低于 4096 KB)。
6、点击“确定”保存当前配置,返回后对另两个配置文件重复执行步骤 4 和 5,确保三者均完成设置。
二、通过组策略编辑器配置防火墙日志策略
组策略方式适用于需要统一部署或禁用图形界面操作的场景,它直接修改系统策略注册表项,强制启用日志功能,并可精确控制日志路径、大小及记录类型,无需依赖图形化控制台。
1、按下 Win + R,输入 gpedit.msc 并回车,启动本地组策略编辑器。
2、导航至:计算机配置 → 管理模板 → 网络 → 网络连接 → Windows 防火墙 → 标准配置文件。
3、在右侧窗格中,双击“Windows 防火墙:允许记录日志”策略项。
4、选择“已启用”,点击“显示”按钮,在弹出窗口中输入日志文件路径:%systemroot%\System32\LogFiles\Firewall\pfirewall.log。
5、在下方文本框中填写日志最大大小(单位 KB),例如:4096;勾选“记录被丢弃的数据包”和“记录成功的连接”复选框。
6、点击“确定”保存策略,关闭组策略编辑器。该设置将在下次组策略刷新或重启后生效。
三、使用 PowerShell 批量启用并验证日志配置
PowerShell 提供了面向管理员的命令行接口,支持一次性为全部网络配置文件启用日志记录,并能立即查询当前状态,避免逐个配置遗漏,适合批量运维或脚本自动化场景。
1、右键点击“开始”按钮,选择“Windows PowerShell(管理员)”,确认 UAC 提示。
2、执行以下命令启用所有配置文件的日志记录:
Set-NetFirewallProfile -Profile Domain,Private,Public -LogAllowed True -LogBlocked True -LogFileName "%systemroot%\System32\LogFiles\Firewall\pfirewall.log"
3、运行以下命令验证是否已正确启用:
Get-NetFirewallProfile | Select-Object Name,LogAllowed,LogBlocked,LogFileName
4、检查输出结果中三项配置文件的 LogAllowed 与 LogBlocked 值是否均为 True,且 LogFileName 路径与预期一致。
四、通过 Microsoft Intune 策略远程配置防火墙日志
对于已加入 Azure AD 并受 Intune 管理的企业设备,可通过云端策略统一推送防火墙日志配置,无需本地操作。该方式支持按设备组精准分发,适用于多地域、多分支的集中化 IT 管理环境。
1、登录 Microsoft Intune 管理中心(https://intune.microsoft.com)。
2、导航至:终结点安全 → 防火墙 → 创建策略 → 选择平台为 Windows 10/11 和 Windows Server。
3、在“配置设置”页面,为“域”、“专用”、“公用”三种网络位置类型分别展开设置项。
4、为每类位置启用“启用日志丢弃的数据包”和“启用日志成功连接”,设置日志文件路径为:%systemroot%\System32\LogFiles\Firewall\pfirewall.log。
5、设定日志最大文件大小(例如 4096 KB),点击“下一步”。
6、将策略分配给包含目标设备的 Azure AD 设备组,完成创建。
