Informationen zur Windows Firewall aus der Ereignisanzeige auslesen

Ausführliche Informationen zur Windows Firewall aus der Ereignisanzeige auslesen

Grundlagen

Im einem der letzten Artikel habe ich erläutert wie man die Protokollierung der Windows Firewall aktiviert. Diese ist durchaus sinnvoll, wenn man mehr Informationen über gesendete, enthaltene- und verworfene Pakete haben möchte. Auf jeden Fall bietet diese einen Einblick was hinsichtlich Netzwerk auf dem System alles läuft. Aber auch die Ereignisanzeige leistet gute Dienste, wenn man mehr Wissen möchte.

Auslesen von Informationen aus der Ereignisanzeige

Die Ereignisanzeige, welche man schnell über den Befehl eventvwr erreicht, ist die Anlaufstelle, wenn es um das Auslesen von Informationen geht. Man findet dort z.B. u.a. wann eine Regel erstellt oder auch geändert wurde. Sämtliche Informationen liegen dabei im folgendem Pfad:

Anwendungs- und Dienstprotokolle/Microsoft/Windows/Windows-Firewall with Advanced Security/Firewall

Dort gibt es insgesamt fünf Abschnitte

Ereignis AbschnittBeschreibung
ConnectionSecurityGibt Informationen darüber aus, ob eine gesicherte Verbindung mit IPsec erstellt wurde.
ConnectionSecurityVerboseAusführlicher Informationen, gerade für Administratoren interessant. Gibt zusätzliche Infos z.B. über die kryptografischen Gruppen. Hier wird sehr viel mitprotokolliert, weshalb man diese Einstellungen nicht dauerhaft eingeschaltet lassen sollte.
FirewallInformationen bzgl. Regeländerungen, Profiländerungen, etc.
FirewallVerboseSehr ausführlich Informationen zum Betrieb der Firewall. Z.B. kann man hier auslesen, welche Firewall Regeln beim Starten der Firewall geladen werden. Auch hier wird sehr viel mitprotokolliert, weshalb diese Einstellungen ebenfalls nicht dauerhaft eingeschaltet bleiben sollte.
Netzwerkisolierung BetriebsbereitWelche Apps dürfen Daten in das Internet senden und welche nicht. Dabei sind verschiedene Filter realisiert. Informationen darüber findet man unter diesem Ereignis Abschnitt
Windows Firewall: Protokollierung in der Ereignisanzeige
Windows Firewall: Protokollierung in der Ereignisanzeige

Fazit

Gerade für die Fehlersuche bzgl. diverser Netzwerkkonfigurationen sollte man die Protokollierung der Firewall nicht außer Acht lassen. Hier kann es durchaus sein, dass durch eine gezielte Änderung der Protokollierung der Fehler gefunden werden kann. Jedoch sollte man auch bedenken, dass man die meisten Einstellung nach der Analyse wieder rückgängig macht, das hier teilweise sehr viel dokumentiert wird.

2 Kommentare

  1. Der Artikel gefällt mir gut. Vor allem, dass darauf aufmerksam machst, was wir alle mehr oder weniger vernachlässigen. Denn wir alle schauen vermutlich nur dann in die Logs, wenn es zu spät ist. Wenn etwas schon weit fortgeschritten ist. Ich habe früher das kommerzielle, aber teils auch Freeware Tools Netwrix genutzt, um Kunden die Analyse zu erleichtern, und auch um Alerts damit zu generieren.

    • Hallo André, ja Windows Boardmittel gibt es so einige, nur leider verwendet man diese kaum!

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*