اغلب firewall روش هایی برای log کردن اتفاقات در شبکه دارند و به این وسیله ترافیک شبکه رو مستند می کنن.امروز می خوایم با این log برداری آشنا بشیم.این log ها اطلاعات با ارزشی مثل IP مبدا و مقصد،شماره پورت ها و پروتکل های استفاده شده و... در اختیار ما میگذارن.شما می تونین از این log ها برای مانیتور کردن کانکشن های TCP و UDP و حتی packet های بلاک شده توسط firewall استفاده کنید.
موارد زیر میتونه دلایل استفاده از Firewall loging باشه:
به طور پیش فرض این قابلیت غیرفعال است یعنی هیچ اطلاعاتی درون log file نوشته نمیشه. برای ایجاد بعد از فشار دادن ترکیبی کلیدwin+r عبارت wf.msc رو درون Run تایپ کنید.صفحه Windows Firewall with Advanced Security مقابل شماست. در سمت راست بر روی properties کلیک کنید
در صفحه جدید بر روی Private Profile کلیک کنید و Customize را از قسمت Logging انتخاب کنید.
در صفحه ی جدید، ماکزیمم size لاگ فایل،مکان ذخیره سازی و نوع لاگ برداری را انتخاب کنید
به طور پیش فرض Windows Firewall جزئیات log file رو در این مسیر می نویسه: SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log%
و نکته قابل توجه اینه که فقط 4MB دیتای آخر رو ذخیره می کنه.در بیشتر ابزار های فایروال، دیتا بر روی هارددیسک ذخیره میشه و اگه میزان size مورد استفاده زیاد بشه بر روی performance سیستم اثر میذاره که معمولا به خاطر ذخیره سازی در مدت زمان طولانی این مشکل پیش میاد.
بنابراین موقعی که واقعا نیازی به log برداری پیدا کردین از این ویژگی استفاده کنید و زمانی هم که کارتون انجام شد اون رو disable کنید. مراحل قبل رو برای تب public profile هم تکرار کنین.خروجی فایل با فرمت log. کانکشن های public و private شما را log می کند.
در صفحه اصلی Windows Firewall with Advanced Security اگر در قسمت Monitoring اسکرول کنید در قسمت Logging Settings می تونید فایل مورد نظرتون رو ببینید.
این log از دو قسمت تشکیل شده است.یک قسمت،قسمت header می باشد که field های موجود در آن نوشته شده--قسمت body هم نتیجه ترافیک عبوری از firewall را به صورت کامپایل شده نشان می دهد.این لیست داینامیک می باشد و در انتهای لیست سطر های جدید در حال اضافه شدن هستند علامت "-" هم نشان دهنده آن است که جزئیاتی برای field موردنظر وجود ندارد.
در ادامه قصد داریم با جزئیات log file در Firewall بیشتر آشنا بشیم
مطابق Microsoft Technet documentation ، بررسی header و body رو انجام میدیم:
همانطور که دیدید اطلاعات نشان داده شده بسیار زاد است و ممکن است به 17 ستون نیز برسد،اما معمولا 8 ستون اول برای تحلیل و بررسی مهم است و بیشتر به کار می آید. با این جزئیات شما می توانید به راحتی اکتیویتی های مخرب را شناسایی کرده و یا به رفع ایراد از مشکلات application مورد نظر خود بپردازید . این ویژگی در troubleshooting شبکه به کارتان خواهد آمد امیدوارم از این آموزش لذت برده باشید. موفق باشید.
فارغ التحصیل رشته مهندسی سخت افزار دانشگاه شاهد هستم. به حوزه شبکه علاقه مند می باشم و دوره MCSE را در مجتمع فنی تهران شعبه ابن سینا گذرانده ام. به یادگیری و کار تیمی علاقه مند می باشم. در زمینه هایی از قبیل high availability و load balancing سرور های لینوکسی در شرکت ویراتک شریف دارای تجربه می باشم. علاقه مند به انجام پروژه در زمینه شبکه های کامپیوتری هستم. در حوزه برنامه نویسی و توسعه اپلیکیشن های تحت وب فعالیت داشته و دارم. به عنوان کاربر نویسنده نیز چندین مطلب تخصصی در حوزه فناوری اطلاعات در
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود