当 Windows 防火墙记录某些事件(例如接受入站连接)时,是否可以收到电子邮件?
答案1
打开高级安全 Windows 防火墙并点击特性在下面操作窗格。
为您想要的配置文件(域/私人/公共)启用连接日志记录:
打开事件查看器并导航至
Applications and Services Logs\Microsoft\Windows\Windows Firewall with Advanced Security。您将在此处看到四个日志:ConnectionSecurity、ConnectionSecurityVerbose、Firewall 和 FirewallVerbose。要启用标记为“verbose”的日志,请在操作窗格右侧单击启用日志。
现在等待一些事件被记录,然后事件查看器选择您感兴趣的防火墙事件,然后在操作窗格点击将任务附加到此事件。
当您指定行动对于你可以选择的任务发送电子邮件:
如果您还想了解完整的事件详细信息,请创建一个简单的批处理文件,使用韦夫图利根据以下条件过滤适当的日志事件ID,像这样:
wevtutil qe System "/q:*[System [(EventID=20274)]]" /f:text /rd:true /c:1 > D:\Attach.txt最后,打开任务计划程序,找到您的任务
Task Scheduler Library\Event Viewer Tasks并对其进行修改,使其包括在发送电子邮件之前运行批处理文件的附加操作。还修改电子邮件操作以包括由韦夫图利作为附件:
补充阅读:自定义防火墙配置文件的日志记录设置.另请参阅本文如果您有兴趣通过电子邮件发送事件详细信息而不运行单独的批处理文件(基本上通过编辑计划任务的 XML 并添加 XPath 查询来检索事件数据)。
此外,请记住,任务计划程序不支持 SMTP 身份验证,这很愚蠢。这意味着,如果您使用的是 ISP 或 Microsoft/Google/Yahoo 的 SMTP 服务器,除非您使用电源外壳或第三方电子邮件程序,如布拉特或者发电子邮件只需记住创建一个启动程序行动,而不是发送电子邮件在这种情况下,就是一个。