Windows 防火墙日志记录。日志文件始终为空白

Windows 防火墙日志记录。日志文件始终为空白

我读过很多关于如何启用 Windows 防火墙日志的类似文章和帖子。我有一台 Win2k8r2 服务器,没有任何 Active Directory、DC、域和其他复杂的东西。这篇文章几乎都提到了 GPO 并启用它。问题是我的系统中甚至没有它。我尝试从控制台调用“gpmc.msc”,但似乎我应该在使用前安装它。

然后我将 Windows 防火墙日志文件位置设置为 D:\pfirewalll.log。它会创建两个文件:prifrewall.log 和 pfirewall.log.old。这些文件具有任何必要的文件系统权限。而且它们始终是空白的!

我不知道还有其他机制可以启用它。我应该利用 Windows 注册表中的某些功能来激活它吗?

提前谢谢大家!

答案1

有 3 个配置文件可用(域/私有/公共)。您可以在 MMC 的顶部节点“高级安全 Windows 防火墙”上查看哪个处于“活动”状态。请确保处于活动状态的配置文件是您启用的配置文件,并为其配置防火墙日志记录。您可以为所有 3 个配置文件配置相同的设置,也可以为每个配置文件配置唯一的配置。

答案2

就我而言,它是在将 Windows 2012R2 提升为域控制器后发生的。

添加NT 服务\MPSSVC具有完全控制权限的帐户C:\Windows\System32\LogFiles\防火墙文件夹并重新启动服务器解决了我的问题。

答案3

在防火墙 UI 中,您配置日志记录的位置,是否已将其设置为实际日志包裹?

-> “记录丢弃的数据包”和“记录成功的连接”设置为YES?

答案4

需要检查一件事:文件是否大于 0KB?如果是,似乎有多个应用程序没有检查读取权限,而是只显示“空”文件。

该文件始终被创建为“继承安全权限”关闭,并且明确对我的用户帐户没有读取权限(尽管是本地管理员)。

明确添加我的用户帐户后,我可以打开并查看内容。

但是,如果 Windows 再次重新创建日志(重新启动或更改日志设置后),权限将恢复。

相关内容