विंडोज फ़ायरवॉल लॉग के साथ फ़ायरवॉल गतिविधि को कैसे ट्रैक करें

इंटरनेट ट्रैफ़िक को फ़िल्टर करने की प्रक्रिया में, सभी फ़ायरवॉल में कुछ प्रकार की लॉगिंग सुविधा होती है जो यह बताती है कि फ़ायरवॉल ने विभिन्न प्रकार के ट्रैफ़िक को कैसे प्रबंधित किया है। ये लॉग स्रोत और गंतव्य आईपी पते, पोर्ट नंबर और प्रोटोकॉल जैसी मूल्यवान जानकारी प्रदान कर सकते हैं। टीसीपी और यूडीपी कनेक्शन और पैकेट जो फ़ायरवॉल द्वारा ब्लॉक किए गए हैं, उन पर नज़र रखने के लिए आप विंडोज फ़ायरवॉल लॉग फ़ाइल का भी उपयोग कर सकते हैं.

क्यों और कब फ़ायरवॉल लॉगिंग उपयोगी है

1. यह सत्यापित करने के लिए कि नए जोड़े गए फ़ायरवॉल नियम ठीक से काम करते हैं या यदि वे अपेक्षा के अनुरूप काम नहीं करते हैं तो उन्हें डिबग करें.
2. यह निर्धारित करने के लिए कि क्या Windows फ़ायरवॉल अनुप्रयोग विफलताओं का कारण है - फ़ायरवॉल लॉगिंग सुविधा के साथ आप अक्षम पोर्ट ओपनिंग, डायनेमिक पोर्ट ओपनिंग के लिए जांच कर सकते हैं, पुश और तत्काल झंडे के साथ गिराए गए पैकेट का विश्लेषण कर सकते हैं और भेजे गए पथ पर गिरा पैकेट का विश्लेषण कर सकते हैं.
3. दुर्भावनापूर्ण गतिविधि की सहायता और पहचान करने के लिए - फ़ायरवॉल लॉगिंग सुविधा से आप जांच सकते हैं कि आपके नेटवर्क के भीतर कोई भी दुर्भावनापूर्ण गतिविधि हो रही है या नहीं, हालाँकि आपको याद रखना चाहिए कि यह गतिविधि के स्रोत को ट्रैक करने के लिए आवश्यक जानकारी प्रदान नहीं करता है.
4. यदि आप एक आईपी पते (या आईपी पते के समूह) से अपने फ़ायरवॉल और / या अन्य हाई प्रोफाइल सिस्टम तक पहुंचने के असफल प्रयासों को नोटिस करते हैं, तो आप उस आईपी स्थान से सभी कनेक्शनों को छोड़ने के लिए एक नियम लिखना चाहते हैं (यह सुनिश्चित कर सकते हैं कि आईपी ​​पते को ख़राब नहीं किया जा रहा है).
5. वेब सर्वर जैसे आंतरिक सर्वर से आने वाले कनेक्शन एक संकेत हो सकते हैं कि कोई व्यक्ति आपके सिस्टम का उपयोग अन्य नेटवर्क पर स्थित कंप्यूटरों के खिलाफ हमले शुरू करने के लिए कर रहा है.

लॉग फ़ाइल कैसे जनरेट करें

डिफ़ॉल्ट रूप से, लॉग फ़ाइल अक्षम होती है, जिसका अर्थ है कि लॉग फ़ाइल में कोई जानकारी नहीं लिखी गई है। लॉग फ़ाइल बनाने के लिए रन बॉक्स खोलने के लिए “Win ​​key + R” दबाएं। "Wf.msc" टाइप करें और Enter दबाएँ। "उन्नत सुरक्षा के साथ विंडोज फ़ायरवॉल" स्क्रीन दिखाई देती है। स्क्रीन के दाईं ओर, "गुण" पर क्लिक करें।

एक नया डायलॉग बॉक्स दिखाई देता है। अब “निजी प्रोफ़ाइल” टैब पर क्लिक करें और “लॉगिंग सेक्शन” में “कस्टमाइज़” चुनें।

एक नई विंडो खुलती है और उस स्क्रीन से आपका अधिकतम लॉग आकार, स्थान और क्या केवल गिराए गए पैकेट, सफल कनेक्शन या दोनों को लॉग करना है। एक गिरा हुआ पैकेट एक पैकेट है जिसे विंडोज फ़ायरवॉल ने ब्लॉक कर दिया है। एक सफल कनेक्शन आने वाले कनेक्शनों के साथ-साथ इंटरनेट पर आपके द्वारा किए गए किसी भी कनेक्शन को संदर्भित करता है, लेकिन इसका हमेशा यह मतलब नहीं है कि एक घुसपैठिया आपके कंप्यूटर से सफलतापूर्वक जुड़ा हुआ है.

डिफ़ॉल्ट रूप से, Windows फ़ायरवॉल लॉग प्रविष्टियों को लिखता है % SystemRoot% \ System32 \ LogFiles \ फ़ायरवॉल \ Pfirewall.log और केवल अंतिम 4 एमबी डेटा संग्रहीत करता है। अधिकांश उत्पादन परिवेशों में, यह लॉग लगातार आपकी हार्ड डिस्क को लिखता है, और यदि आप लॉग फ़ाइल (समय की लंबी अवधि में गतिविधि लॉग करने के लिए) की आकार सीमा को बदलते हैं तो यह एक प्रदर्शन प्रभाव पैदा कर सकता है। इस कारण से, आपको केवल तभी लॉगिंग को सक्षम करना चाहिए जब किसी समस्या का सक्रिय रूप से निवारण हो और फिर समाप्त होने पर लॉगिंग को तुरंत अक्षम कर दें.

अगला, "सार्वजनिक प्रोफ़ाइल" टैब पर क्लिक करें और "निजी प्रोफ़ाइल" टैब के लिए आपके द्वारा किए गए चरणों को दोहराएं। अब आप निजी और सार्वजनिक दोनों नेटवर्क कनेक्शनों के लिए लॉग ऑन कर चुके हैं। लॉग फ़ाइल W3C विस्तारित लॉग प्रारूप (.log) में बनाई जाएगी, जिसे आप अपनी पसंद के पाठ संपादक के साथ जांच सकते हैं या उन्हें एक स्प्रेडशीट में आयात कर सकते हैं। एक सिंगल लॉग फ़ाइल में हजारों टेक्स्ट प्रविष्टियाँ हो सकती हैं, इसलिए यदि आप उन्हें नोटपैड के माध्यम से पढ़ रहे हैं तो कॉलम फॉर्मेटिंग को संरक्षित करने के लिए वर्ड रैपिंग को अक्षम करें। यदि आप लॉग फ़ाइल को एक स्प्रेडशीट में देख रहे हैं तो सभी क्षेत्रों को आसानी से विश्लेषण के लिए कॉलम में प्रदर्शित किया जाएगा.

"उन्नत सुरक्षा के साथ विंडोज फ़ायरवॉल" स्क्रीन पर, "मॉनिटरिंग" लिंक को देखने तक स्क्रॉल करें। विवरण लॉग में, "लॉगिंग सेटिंग्स" के तहत, "फ़ाइल नाम" के बगल में फ़ाइल पथ पर क्लिक करें। लॉग नोटपैड में खुलता है.

Windows फ़ायरवॉल लॉग की व्याख्या करना

Windows फ़ायरवॉल सुरक्षा लॉग में दो खंड होते हैं। शीर्ष लेख लॉग के संस्करण के बारे में स्थिर, वर्णनात्मक जानकारी और उपलब्ध फ़ील्ड प्रदान करता है। लॉग का मुख्य भाग संकलित डेटा है जो ट्रैफ़िक के परिणामस्वरूप दर्ज किया जाता है जो फ़ायरवॉल को पार करने की कोशिश करता है। यह एक गतिशील सूची है, और लॉग के निचले भाग में नई प्रविष्टियाँ दिखाई देती रहती हैं। पूरे पृष्ठ में फ़ील्ड को बाएं से दाएं लिखा जाता है। (-) का उपयोग तब किया जाता है जब क्षेत्र के लिए कोई प्रविष्टि उपलब्ध नहीं होती है.

Microsoft Technet दस्तावेज़ीकरण के अनुसार लॉग फ़ाइल के हेडर में शामिल हैं:

संस्करण - प्रदर्शित करता है कि Windows फ़ायरवॉल सुरक्षा लॉग का कौन सा संस्करण स्थापित है.
सॉफ्टवेयर - लॉग बनाने वाले सॉफ्टवेयर का नाम प्रदर्शित करता है.
समय - इंगित करता है कि लॉग में सभी टाइमस्टैम्प जानकारी स्थानीय समय में है.
फ़ील्ड - यदि डेटा उपलब्ध है, तो सुरक्षा लॉग प्रविष्टियों के लिए उपलब्ध फ़ील्ड की एक सूची प्रदर्शित करता है.

जबकि लॉग फ़ाइल के मुख्य भाग में है:

दिनांक - दिनांक फ़ील्ड प्रारूप YYYY-MM-DD में दिनांक की पहचान करती है.
समय - स्थानीय समय लॉग फ़ाइल में एचएच: एमएम: एसएस प्रारूप का उपयोग करके प्रदर्शित किया जाता है। घंटे को 24-घंटे के प्रारूप में संदर्भित किया जाता है.
कार्रवाई - जैसे ही फ़ायरवॉल ट्रैफ़िक को संसाधित करता है, कुछ क्रियाएं रिकॉर्ड की जाती हैं। लॉग इन क्रियाएं एक कनेक्शन को छोड़ने के लिए DROP हैं, एक कनेक्शन खोलने के लिए ओपन, एक कनेक्शन को बंद करने के लिए CLOSE, स्थानीय कंप्यूटर के लिए एक इनबाउंड सत्र के लिए OPEN-INBOUND, और Windows फ़ायरवॉल द्वारा संसाधित घटनाओं के लिए INFO-EVENTS-LOST, सुरक्षा लॉग में दर्ज नहीं किए गए थे.
प्रोटोकॉल - प्रोटोकॉल जैसे टीसीपी, यूडीपी या आईसीएमपी का उपयोग किया जाता है.
src-ip - स्रोत IP पता प्रदर्शित करता है (संचार स्थापित करने के लिए कंप्यूटर का आईपी पता).
dst-ip - एक कनेक्शन प्रयास का गंतव्य आईपी पता प्रदर्शित करता है.
src-port - भेजने वाले कंप्यूटर पर पोर्ट नंबर जिससे कनेक्शन का प्रयास किया गया था.
dst-port - वह पोर्ट जिसे भेजने वाला कंप्यूटर कनेक्शन बनाने की कोशिश कर रहा था.
आकार - बाइट में पैकेट का आकार प्रदर्शित करता है.
tcpflags - टीसीपी हेडर में टीसीपी नियंत्रण झंडे के बारे में जानकारी.
tcpsyn - पैकेट में टीसीपी अनुक्रम संख्या प्रदर्शित करता है.
tcpack - पैकेट में टीसीपी पावती संख्या प्रदर्शित करता है.
tcpwin - पैकेट में, बाइट्स में टीसीपी विंडो का आकार प्रदर्शित करता है.
icmptype - ICMP संदेशों के बारे में जानकारी.
icmpcode - ICMP संदेशों के बारे में जानकारी.
जानकारी - एक प्रविष्टि प्रदर्शित करता है जो उस प्रकार की कार्रवाई पर निर्भर करता है जो हुई.
पथ - संचार की दिशा प्रदर्शित करता है। उपलब्ध विकल्प SEND, RECEIVE, FORWARD और UNKNOWN हैं.

जैसा कि आप नोटिस करते हैं, लॉग प्रविष्टि वास्तव में बड़ी है और प्रत्येक घटना से जुड़ी जानकारी के 17 टुकड़े तक हो सकते हैं। हालांकि, सामान्य विश्लेषण के लिए जानकारी के केवल पहले आठ टुकड़े महत्वपूर्ण हैं। अपने हाथ में विवरण के साथ अब आप दुर्भावनापूर्ण गतिविधि या डिबग एप्लिकेशन विफलताओं की जानकारी का विश्लेषण कर सकते हैं.

यदि आपको किसी दुर्भावनापूर्ण गतिविधि पर संदेह है, तो नोटपैड में लॉग फ़ाइल खोलें और कार्रवाई क्षेत्र में DROP के साथ सभी लॉग प्रविष्टियों को फ़िल्टर करें और ध्यान दें कि क्या गंतव्य आईपी पता 255 के अलावा किसी अन्य नंबर के साथ समाप्त होता है। यदि आपको ऐसी कई प्रविष्टियाँ मिलती हैं, तो ले लें पैकेट के गंतव्य आईपी पते का एक नोट। एक बार समस्या का निवारण करने के बाद, आप फ़ायरवॉल लॉगिंग को अक्षम कर सकते हैं.

समस्या निवारण नेटवर्क समस्याएँ कई बार काफी कठिन हो सकती हैं और जब Windows फ़ायरवॉल को मूल लॉग्स को सक्षम करना हो तो समस्या निवारण के लिए एक अच्छे अभ्यास की सिफारिश की जा सकती है। हालाँकि Windows फ़ायरवॉल लॉग फ़ाइल आपके नेटवर्क की समग्र सुरक्षा का विश्लेषण करने के लिए उपयोगी नहीं है, फिर भी यह एक अच्छा अभ्यास बना हुआ है यदि आप यह देखना चाहते हैं कि पर्दे के पीछे क्या हो रहा है.