विंडोज फ़ायरवॉल लॉग के साथ फ़ायरवॉल गतिविधि को कैसे ट्रैक करें

2024 लेखक: Geoffrey Carr | [email protected]. अंतिम बार संशोधित: 2024-01-17 19:36

इंटरनेट यातायात को फ़िल्टर करने की प्रक्रिया में, सभी फ़ायरवॉल में कुछ प्रकार की लॉगिंग सुविधा होती है जो दस्तावेजों को फ़ायरवॉल को विभिन्न प्रकार के यातायात को कैसे संभाला जाता है। ये लॉग मूल्यवान जानकारी जैसे स्रोत और गंतव्य आईपी पते, पोर्ट नंबर और प्रोटोकॉल प्रदान कर सकते हैं। आप फायरवॉल द्वारा अवरुद्ध टीसीपी और यूडीपी कनेक्शन और पैकेट की निगरानी के लिए विंडोज फ़ायरवॉल लॉग फ़ाइल का भी उपयोग कर सकते हैं।

फ़ायरवॉल लॉगिंग क्यों और कब उपयोगी है

यह सत्यापित करने के लिए कि क्या नए जोड़े गए फ़ायरवॉल नियम ठीक से काम करते हैं या उन्हें डीबग करने के लिए अगर वे अपेक्षित काम नहीं करते हैं।
यह निर्धारित करने के लिए कि क्या विंडोज फ़ायरवॉल अनुप्रयोग विफलताओं का कारण है - फ़ायरवॉल लॉगिंग सुविधा के साथ आप अक्षम बंदरगाह खोलने, गतिशील पोर्ट खोलने, पुश और तत्काल झंडे के साथ गिराए गए पैकेट का विश्लेषण कर सकते हैं और प्रेषण पथ पर गिराए गए पैकेट का विश्लेषण कर सकते हैं।
दुर्भावनापूर्ण गतिविधि की सहायता और पहचान करने के लिए - फ़ायरवॉल लॉगिंग सुविधा के साथ आप जांच सकते हैं कि आपके नेटवर्क में कोई दुर्भावनापूर्ण गतिविधि हो रही है या नहीं, हालांकि आपको याद रखना चाहिए कि यह गतिविधि के स्रोत को ट्रैक करने के लिए आवश्यक जानकारी प्रदान नहीं करता है।
यदि आप एक आईपी पते (या आईपी पते के समूह) से अपने फ़ायरवॉल और / या अन्य उच्च प्रोफ़ाइल सिस्टम तक पहुंचने के असफल प्रयासों को देखते हैं, तो हो सकता है कि आप उस आईपी स्पेस से सभी कनेक्शन ड्रॉप करने के लिए एक नियम लिखना चाहें (सुनिश्चित कर लें कि आईपी पते को धोखा नहीं दिया जा रहा है)।
वेब सर्वर जैसे आंतरिक सर्वर से आने वाले आउटगोइंग कनेक्शन एक संकेत हो सकते हैं कि कोई अन्य नेटवर्क पर स्थित कंप्यूटरों के खिलाफ हमलों को लॉन्च करने के लिए आपके सिस्टम का उपयोग कर रहा है।

लॉग फ़ाइल कैसे उत्पन्न करें

डिफ़ॉल्ट रूप से, लॉग फ़ाइल अक्षम है, जिसका अर्थ है कि लॉग फ़ाइल में कोई जानकारी नहीं लिखी गई है। लॉग फ़ाइल बनाने के लिए रन बॉक्स खोलने के लिए "विन कुंजी + आर" दबाएं। "Wf.msc" टाइप करें और एंटर दबाएं। "उन्नत सुरक्षा के साथ विंडोज फ़ायरवॉल" स्क्रीन प्रकट होता है। स्क्रीन के दाईं ओर, "गुण" पर क्लिक करें।

एक नया संवाद बॉक्स प्रकट होता है। अब "निजी प्रोफ़ाइल" टैब पर क्लिक करें और "लॉगिंग अनुभाग" में "अनुकूलित करें" का चयन करें।

एक नई विंडो खुलती है और उस स्क्रीन से आपका अधिकतम लॉग आकार, स्थान, और केवल ड्रॉप किए गए पैकेट, सफल कनेक्शन या दोनों को लॉग करना है या नहीं। एक गिराया पैकेट एक पैकेट है जो विंडोज फ़ायरवॉल अवरुद्ध है। एक सफल कनेक्शन इनकमिंग कनेक्शनों के साथ-साथ इंटरनेट पर किए गए किसी भी कनेक्शन को संदर्भित करता है, लेकिन इसका हमेशा यह मतलब नहीं है कि घुसपैठिया आपके कंप्यूटर से सफलतापूर्वक कनेक्ट हो गया है।

डिफ़ॉल्ट रूप से, विंडोज फ़ायरवॉल लॉग प्रविष्टियों को लिखता है


%SystemRoot%System32LogFilesFirewallPfirewall.log

और केवल अंतिम 4 एमबी डेटा स्टोर करता है। अधिकांश उत्पादन वातावरण में, यह लॉग लगातार आपकी हार्ड डिस्क पर लिखता है, और यदि आप लॉग फ़ाइल की आकार सीमा (लंबे समय तक गतिविधि लॉग करने के लिए) बदलते हैं तो यह प्रदर्शन प्रभाव का कारण बन सकता है। इस कारण से, आपको सक्रिय रूप से किसी समस्या का निवारण करते समय लॉगिंग सक्षम करना चाहिए और फिर समाप्त होने पर तुरंत लॉगिंग अक्षम करना चाहिए।

इसके बाद, "सार्वजनिक प्रोफ़ाइल" टैब पर क्लिक करें और "निजी प्रोफ़ाइल" टैब के लिए किए गए चरणों को दोहराएं। अब आपने निजी और सार्वजनिक नेटवर्क कनेक्शन दोनों के लिए लॉग चालू कर दिया है। लॉग फ़ाइल W3C विस्तारित लॉग प्रारूप (.log) में बनाई जाएगी जिसे आप अपनी पसंद के टेक्स्ट एडिटर के साथ जांच सकते हैं या उन्हें स्प्रेडशीट में आयात कर सकते हैं। एक एकल लॉग फ़ाइल में हजारों टेक्स्ट प्रविष्टियां हो सकती हैं, इसलिए यदि आप उन्हें नोटपैड के माध्यम से पढ़ रहे हैं तो कॉलम स्वरूपण को संरक्षित करने के लिए शब्द रैपिंग अक्षम करें। यदि आप स्प्रेडशीट में लॉग फ़ाइल देख रहे हैं तो आसान फ़ील्ड के लिए कॉलम में सभी फ़ील्ड लॉजिकल रूप से प्रदर्शित होंगे।

मुख्य "विंडोज़ फ़ायरवॉल उन्नत सुरक्षा के साथ" स्क्रीन पर, जब तक आप "निगरानी" लिंक नहीं देखते हैं तब तक नीचे स्क्रॉल करें। विवरण फलक में, "लॉगिंग सेटिंग्स" के अंतर्गत, "फ़ाइल नाम" के बगल में स्थित फ़ाइल पथ पर क्लिक करें। लॉग नोटपैड में खुलता है।

विंडोज फ़ायरवॉल लॉग का व्याख्यान

विंडोज फ़ायरवॉल सुरक्षा लॉग में दो खंड हैं। हेडर लॉग के संस्करण, और उपलब्ध फ़ील्ड के बारे में स्थिर, वर्णनात्मक जानकारी प्रदान करता है। लॉग का बॉडी संकलित डेटा है जो फ़ायरवॉल को पार करने की कोशिश करने वाले ट्रैफ़िक के परिणामस्वरूप दर्ज किया जाता है। यह एक गतिशील सूची है, और नई प्रविष्टियां लॉग के नीचे दिखाई देती रहती हैं। फ़ील्ड बाएं से दाएं पृष्ठ पर लिखे गए हैं। (-) का उपयोग तब किया जाता है जब क्षेत्र के लिए कोई प्रविष्टि उपलब्ध न हो।

माइक्रोसॉफ्ट टेक्नेट दस्तावेज के अनुसार लॉग फ़ाइल के शीर्षलेख में निम्न शामिल हैं:

संस्करण - दिखाता है कि विंडोज फ़ायरवॉल सुरक्षा लॉग का कौन सा संस्करण स्थापित है। सॉफ्टवेयर - लॉग बनाने वाले सॉफ़्टवेयर का नाम प्रदर्शित करता है। समय - इंगित करता है कि लॉग में सभी टाइमस्टैम्प जानकारी स्थानीय समय में हैं। फ़ील्ड्स - यदि डेटा उपलब्ध है, तो सुरक्षा लॉग प्रविष्टियों के लिए उपलब्ध फ़ील्ड की एक सूची प्रदर्शित करता है।

जबकि लॉग फ़ाइल के शरीर में शामिल हैं:

तिथि - दिनांक फ़ील्ड YYYY-MM-DD प्रारूप में दिनांक की पहचान करता है। समय - स्थानीय समय प्रारूप एचएच: एमएम: एसएस का उपयोग कर लॉग फ़ाइल में प्रदर्शित होता है। घंटे 24 घंटे के प्रारूप में संदर्भित हैं। क्रिया - जैसे फ़ायरवॉल यातायात को संसाधित करता है, कुछ क्रियाएं रिकॉर्ड की जाती हैं।लॉग इन क्रियाएं कनेक्शन छोड़ने के लिए डीआरओपी हैं, कनेक्शन खोलने के लिए खोलें, कनेक्शन बंद करने के लिए बंद करें, स्थानीय कंप्यूटर पर खोले गए इनबाउंड सत्र के लिए खोलें, और विंडोज फ़ायरवॉल द्वारा संसाधित घटनाओं के लिए INFO-EVENTS-LOST, लेकिन सुरक्षा लॉग में दर्ज नहीं किया गया था। प्रोटोकॉल - टीसीपी, यूडीपी, या आईसीएमपी जैसे प्रोटोकॉल का इस्तेमाल किया जाता है। src-ip - स्रोत आईपी पता प्रदर्शित करता है (कंप्यूटर स्थापित करने का प्रयास करने वाले कंप्यूटर का आईपी पता)। डीएसटी-आईपी - कनेक्शन प्रयास के गंतव्य आईपी पते को प्रदर्शित करता है। src-port - भेजने वाले कंप्यूटर पर पोर्ट नंबर जिस से कनेक्शन का प्रयास किया गया था। डीएसटी पोर्ट - वह बंदरगाह जिस पर भेजने वाला कंप्यूटर कनेक्शन बनाने की कोशिश कर रहा था। आकार - बाइट्स में पैकेट आकार प्रदर्शित करता है। टीसीपीफ्लैग - टीसीपी हेडर में टीसीपी नियंत्रण झंडे के बारे में जानकारी। tcpsyn - पैकेट में टीसीपी अनुक्रम संख्या प्रदर्शित करता है। tcpack - पैकेट में टीसीपी पावती संख्या प्रदर्शित करता है। टीसीपीविन - पैकेट में बाइट्स में टीसीपी विंडो आकार प्रदर्शित करता है। icmptype - आईसीएमपी संदेशों के बारे में जानकारी। आईसीएमपीकोड - आईसीएमपी संदेशों के बारे में जानकारी। जानकारी - एक प्रविष्टि प्रदर्शित करता है जो कि हुई कार्रवाई के प्रकार पर निर्भर करता है। पथ - संचार की दिशा प्रदर्शित करता है। उपलब्ध विकल्प भेजें, प्राप्त करें, आगे बढ़ें, और अज्ञात हैं।

जैसा कि आप देखते हैं, लॉग प्रविष्टि वास्तव में बड़ी है और प्रत्येक घटना से संबंधित जानकारी के 17 टुकड़े हो सकते हैं। हालांकि, सामान्य विश्लेषण के लिए केवल जानकारी के पहले आठ टुकड़े महत्वपूर्ण हैं। अपने हाथ में ब्योरे के साथ अब आप दुर्भावनापूर्ण गतिविधि या डीबग एप्लिकेशन असफलताओं के लिए जानकारी का विश्लेषण कर सकते हैं।

यदि आपको किसी भी दुर्भावनापूर्ण गतिविधि पर संदेह है, तो नोटपैड में लॉग फ़ाइल खोलें और कार्रवाई क्षेत्र में डीआरओपी के साथ सभी लॉग प्रविष्टियों को फ़िल्टर करें और ध्यान दें कि गंतव्य आईपी पता 255 के अलावा किसी अन्य नंबर के साथ समाप्त होता है या नहीं। यदि आपको ऐसी कई प्रविष्टियां मिलती हैं, तो ले लो पैकेट के गंतव्य आईपी पते का एक नोट। एक बार समस्या निवारण समाप्त करने के बाद, आप फ़ायरवॉल लॉगिंग को अक्षम कर सकते हैं।

समस्याओं का निवारण करते समय नेटवर्क फ़ायरवॉल समस्या निवारण करते समय नेटवर्क समस्याओं की समस्या निवारण कई बार कठिन हो सकती है और एक अनुशंसित अच्छी प्रैक्टिस हो सकती है। यद्यपि विंडोज फ़ायरवॉल लॉग फ़ाइल आपके नेटवर्क की समग्र सुरक्षा का विश्लेषण करने के लिए उपयोगी नहीं है, फिर भी यदि आप दृश्यों के पीछे क्या हो रहा है, तो यह अभी भी एक अच्छा अभ्यास बना हुआ है।

सिफारिश की: