(cache) ファイアウォールのログ確認(auditpol.exe・wf.msc・netsh)

ファイアウォールのログ確認(auditpol.exe・wf.msc・netsh)

ネットワークトラブルの原因としてWindows ファイアウォールの設定ミスの場合が多数あります。
今回はWindows ファイアウォールの設定を確認する方法として、audiotpol.exe・wf.msc・netshを使用したファイアウォールのログの設定・確認する方法を記述します。

テスト環境
以下のように、ウェブサーバー側で誤ってポート8080がWindows ファイアウォールでブロックされている環境を考えます。

[audiopol.exe]
後述する二つの方法と違い、ログをテキストファイルでなくイベントビューアーで確認することができます。

1. ウェブサーバー側で管理者権限のコマンドプロンプトを開き以下のコマンドを実行します。
auditpol /set /subcategory:"フィルタリングプラットフォームの接続" /success:enable /failure:enable

2. クライアントからウェブサーバーにアクセスし、アクセスできないことを確認します。

3. ウェブサーバー側のeventvwr.msc(イベントビューアー)を開きます。
4. Windowsログのセキュリティに"失敗の監査"がログされており、"Windows フィルターリングプラットフォームで、接続がブロックされました。"・"ソースポート 8080"が出力している確認します。

5. ログ出力を止めるには以下のコマンドを実行します。
auditpol /set /subcategory:"フィルタリングプラットフォームの接続" /success:disable /failure:disable

[wf.msc]
GUIを用いて設定することができます。ログはテキストファイルで出力されます。

1. ウェブサーバー側のwf.msc(セキュリティが強化された Windows ファイアウォール)を開きます。
2. "ローカルコンピューターのセキュリティが強化された Windows ファイアウォール"を右クリックしプロパティを開きます。

3. プロファイルが３つありますが、外套のプロファイルの"ログ"の"カスタマイズ"をクリックします。

4. 設定を行います。ログの記録を"はい"にしてください。

5. 設定したパス(デフォルトはC:\Windows\System32\LogFiles\Firewall\pfirewall.log)にログが出力されていることを確認します。
ログは以下のように表示されます。
dst-portが8080のものが"DROP"されていることがわかります。

ログの詳細についてはマイクロソフトのサイトInterpreting the Windows Firewall Logを参照ください。

netsh
上記のwf.mscの設定をCUIで行う方法です。

1. 管理者権限のコマンドプロンプトでnetshを実行し、以下のコマンドを実行します。
advfirewall set allprofiles logging allowedconnections enable
advfirewall set allprofiles logging droppedconnections enable

2. C:\Windows\System32\LogFiles\Firewall\pfirewall.logにログが出力されていることを確認します。
ログは以下のように表示されます。
dst-portが8080のものが"DROP"されていることがわかります。

ログの詳細についてはマイクロソフトのサイトInterpreting the Windows Firewall Logを参照ください。
3. ログの出力を止めるには以下のコマンドを実行します。
advfirewall set allprofiles logging allowedconnections disable
advfirewall set allprofiles logging droppedconnections disable