Windows10系统防火墙的详细日志怎么查看?
-
Windows10系统防火墙的详细日志怎么查看?
一、通过事件查看器 (推荐)
1. 打开事件查看器
按Win+R,输入eventvwr.msc,回车
或通过 "控制面板→管理工具→事件查看器" 打开
2. 导航到防火墙日志
在左侧导航栏,展开: plaintext 应用程序和服务日志 → Microsoft → Windows → Windows Defender Firewall with Advanced Security
选择以下日志查看:
Firewall:常规防火墙事件 (默认)
FirewallVerbose:详细日志 (需手动启用)
ConnectionSecurity:连接安全规则事件
3. 查看日志内容
右侧窗口显示事件列表,双击条目查看详情
关键信息:事件 ID (如 5152 表示数据包被阻止)、时间、源 IP、目标端口、操作类型
二、直接查看日志文件 (适合深度分析)
1. 定位日志文件
默认路径:C:WindowsSystem32LogFilesFirewallpfirewall.log
使用环境变量:%windir%System32LogFilesFirewallpfirewall.log
2. 打开日志文件
以管理员身份运行记事本 / 文本编辑器
直接拖入文件或通过 "文件→打开" 浏览选择
注意:日志文件可能被占用,可先复制到其他目录再查看
3. 理解日志格式 日志为 W3C 扩展格式,常见字段: plaintext #Fields: date time action protocol src-ip dst-ip src-port dst-port size ... 2025-12-25 10:30:45 DROP TCP 192.168.1.100 10.0.0.1 50000 80 60 ...
action:DROP (阻止)/ALLOW (允许)
protocol:TCP/UDP/ICMP
src-ip/dst-ip:源 / 目标 IP 地址
src-port/dst-port:源 / 目标端口
三、配置日志记录 (如尚未启用)
1. 通过防火墙高级设置启用
按Win+R,输入wf.msc,回车
右键点击 "Windows Defender Firewall with Advanced Security",选择 "属性"
在各网络配置文件 (域 / 专用 / 公用) 选项卡下:
点击 "日志记录" 区域的 "自定义..."
勾选 "日志丢弃的数据包"(记录被阻止的连接)
勾选 "日志成功的连接"(记录允许的连接)
建议将 "日志最大文件大小" 设为 20MB 以上 (默认 4MB 太小)
可自定义路径 (如添加配置文件名称区分:pfirewall_Private.log)
2. 使用命令行快速启用 cmd # 启用所有配置文件的数据包阻止日志 netsh advfirewall set allprofiles logging droppedconnections enable # 启用所有配置文件的连接成功日志 netsh advfirewall set allprofiles logging allowedconnections enable Microsoft Learn
四、实用技巧与注意事项
1. 筛选关键信息
在事件查看器中,右键点击日志,选择 "创建自定义视图..."
筛选条件:事件 ID=5152 (阻止) 或 5156 (允许),时间范围,特定 IP / 端口
2. 日志文件管理
定期备份重要日志 (防止覆盖)
日志达到最大大小时,旧条目会被自动删除
建议为不同网络配置文件使用单独日志文件 (如pfirewall_Domain.log)
3. 常见问题排查
日志文件不存在:检查路径权限 (需为NT SERVICEmpssvc添加完全控制)
日志无新条目:确认已启用 "日志丢弃的数据包" 或 "日志成功的连接"
推荐阅读: - 上一篇:Windows10系统防火墙的默认入站规则有哪些? 下一篇:windows10系统时区优化怎么设置?
