Windows伺服器自帶防火牆檢視啟停記錄資訊

潇湘隐者發表於2025-01-10

最近遇到一個案例:一套Windows故障轉移群集(WSFC)中一個節點的防火牆(Windows系統自帶的防火牆)關閉了,但是不清楚什麼時間,什麼原因被關閉了,那麼是否可以透過日誌檢視Windows的日誌檢視防火牆的關閉時間嗎?答案是可以,我們可以開啟Windows系統的"事件檢視器",您可以透過按下Win + R開啟執行對話方塊,輸入eventvwr.msc,然後按Enter鍵來開啟"事件檢視器",也可以透過控制皮膚進去找到“事件檢視器”,下面在測試環境演示一下。

英文系統:

在"Event Viewer"——> "Applications and Services Logs"——> "Microsoft" ——> "Windows" ——> "Windows Firewall With Advanced Security"下選擇Firewall檔案,然後過濾事件ID為2003的記錄。當Windows防火牆的配置被修改時,會生成事件ID 2003的日誌記錄。這可能包括對防火牆規則、例外設定、安全策略等方面的更改,當然關閉或啟動防火牆也會記錄ID為2003的日誌記錄。

中文系統:

開啟"事件檢視器",在導航窗格中,依次展開“應用程式和服務日誌”——> Microsoft——> Windows ——> “高階安全 Windows 防火牆(windows Firewall With Advanced Security)”。然後過濾事件ID為2003的記錄就能找到什麼時候啟用或停用Windows伺服器防火牆的停止日誌。

如下所示,這裡會看到2025-01-10 8:41:48有三條記錄,分別表示私有網路設定,區域網設定、公共網路設定,Value變為No,表示停用防火牆。

A Windows Defender Firewall setting in the Public profile has changed.
New Setting:
Type: Enable Windows Defender Firewall
Value: No
Modifying User: ***\***duat
Modifying Application: C:\Windows\System32\dllhost.exe

雖然這裡能看到防火牆被關閉的記錄資訊,但是僅僅從日誌還無法判斷防火牆處於什麼原因被關閉。因為有時候安裝系統補丁或人為操作都有可能。此時就必須接合其他日誌(例如,跳板機日誌記錄)或手段才能進一步分析原因。

相關文章