时间:2025-01-10 11:26
人气:
作者:admin
最近遇到一个案例:一套Windows故障转移群集(WSFC)中一个节点的防火墙(Windows系统自带的防火墙)关闭了,但是不清楚什么时间,什么原因被关闭了,那么是否可以通过日志查看Windows的日志查看防火墙的关闭时间吗?答案是可以,我们可以打开Windows系统的"事件查看器",您可以通过按下Win + R打开运行对话框,输入eventvwr.msc,然后按回车键来打开"事件查看器",也可以通过控制面板进去找到“事件查看器”,下面在测试环境演示一下。
在"Event Viewer"——> "Applications and Services Logs"——> "Microsoft" ——> "Windows" ——> "Windows Firewall With Advanced Security"下选择Firewall文件,然后过滤事件ID为2003的记录。当Windows防火墙的配置被修改时,会生成事件ID 2003的日志记录。这可能包括对防火墙规则、例外设置、安全策略等方面的更改,当然关闭或启动防火墙也会记录ID为2003的日志记录。
打开"事件查看器",在导航窗格中,依次展开“应用程序和服务日志”——> Microsoft——> Windows ——> “高级安全 Windows 防火墙(windows Firewall With Advanced Security)”。然后过滤事件ID为2003的记录就能找到什么时候启用或停用Windows服务器防火墙的停止日志。
如下所示,这里会看到2025-01-10 8:41:48有三条记录,分别表示私有网络设置,局域网设置、公共网络设置,Value变为No,表示禁用防火墙。
A Windows Defender Firewall setting in the Public profile has changed.
New Setting:
Type: Enable Windows Defender Firewall
Value: No
Modifying User: ***\***duat
Modifying Application: C:\Windows\System32\dllhost.exe
虽然这里能看到防火墙被关闭的记录信息,但是仅仅从日志还无法判断防火墙处于什么原因被关闭。因为有时候安装系统补丁或人为操作都有可能。此时就必须接合其他日志(例如,跳板机日志记录)或手段才能进一步分析原因。
扫描上面二维码关注我
如果你真心觉得文章写得不错,而且对你有所帮助,那就不妨帮忙“推荐"一下,您的“推荐”和”打赏“将是我最大的写作动力!
本文版权归作者所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接. 
关注微信