我读过很多关于如何启用 Windows 防火墙日志的类似文章和帖子。我有一台 Win2k8r2 服务器,没有任何 Active Directory、DC、域和其他复杂的东西。这篇文章几乎都提到了 GPO 并启用它。问题是我的系统中甚至没有它。我尝试从控制台调用“gpmc.msc”,但似乎我应该在使用前安装它。
然后我将 Windows 防火墙日志文件位置设置为 D:\pfirewalll.log。它会创建两个文件:prifrewall.log 和 pfirewall.log.old。这些文件具有任何必要的文件系统权限。而且它们始终是空白的!
我不知道还有其他机制可以启用它。我应该利用 Windows 注册表中的某些功能来激活它吗?
提前谢谢大家!
答案1
有 3 个配置文件可用(域/私有/公共)。您可以在 MMC 的顶部节点“高级安全 Windows 防火墙”上查看哪个处于“活动”状态。请确保处于活动状态的配置文件是您启用的配置文件,并为其配置防火墙日志记录。您可以为所有 3 个配置文件配置相同的设置,也可以为每个配置文件配置唯一的配置。
答案2
就我而言,它是在将 Windows 2012R2 提升为域控制器后发生的。
添加NT 服务\MPSSVC具有完全控制权限的帐户C:\Windows\System32\LogFiles\防火墙文件夹并重新启动服务器解决了我的问题。
答案3
在防火墙 UI 中,您配置日志记录的位置,是否已将其设置为实际日志包裹?
-> “记录丢弃的数据包”和“记录成功的连接”设置为YES?
答案4
需要检查一件事:文件是否大于 0KB?如果是,似乎有多个应用程序没有检查读取权限,而是只显示“空”文件。
该文件始终被创建为“继承安全权限”关闭,并且明确对我的用户帐户没有读取权限(尽管是本地管理员)。
明确添加我的用户帐户后,我可以打开并查看内容。
但是,如果 Windows 再次重新创建日志(重新启动或更改日志设置后),权限将恢复。