Брандмауер Windows: ведення журналу / повідомлення про спроби вихідного запиту

Я намагаюся налаштувати брандмауер Windows за допомогою Advanced Security для того, щоб увійти та повідомити мені, коли програми намагаються робити вихідні запити. Раніше я намагався встановити ZoneAlarm, який для мене творив чудеса в Windows XP. Але тепер я не можу встановити ZoneAlarm на Windows 7.

Чи можливо якось контролювати журнал або отримувати сповіщення, коли програма намагається це зробити, якщо я встановив усі вихідні з'єднання для автоматичного блокування, щоб потім я міг створити певне правило для програми та заблокувати його?

Оновлення
Я ввімкнув усі параметри журналу, доступні через вікна властивостей Брандмауера Windows за допомогою розширеної консолі безпеки. Але я бачу лише журнали у %systemroot%\system32\LogFiles\Firewall\pfirewall.logфайлі, а не в переглядачі подій, як запропонувала перша відповідь.

Однак журнали, які я бачу, вказують лише на IP-запити або призначення відповіді та на те, чи дозволено чи заблоковано з'єднання. Але це не говорить мені, з чого він виконується. Я хочу дізнатися шлях до файлу до виконуваного файлу, з якого надходить кожен заблокований запит. Поки що я цього не зміг.

Ви повинні мати змогу побачити це в Переглядачі подій . Спершу потрібно налаштувати параметри реєстрації в консолі розширених налаштувань :

На лівій панелі переглядача подій перейдіть до журналу програм та служб -> Microsoft -> Windows -> брандмауер Windows із розширеною безпекою :

Там ви можете створити спеціальний перегляд і відфільтрувати журнал лише до спроб вихідного з'єднання.

У Windows 7 і 8 потрібно спочатку включити Аудит невдалих з'єднань.

Локальна комп’ютерна політика (Виконати: GPEdit.msc)> Конфігурація комп'ютера> Налаштування Windows> Налаштування безпеки> Локальна політика> Політика аудиту> Доступ до об'єктів аудиту: Збій

Тепер перервані з'єднання разом із відповідним ім'ям виконуваного файлу мають відображатися на:

Журнал подій> Журнали Windows> Захист:

1. Платформа фільтрування Windows заблокувала пакет: [Ідентифікатор події: 5152]
2. Платформа фільтрування Windows заблокувала з'єднання: [Ідентифікатор події: 5157]

Тут ви знайдете:

Назва програми: \ device \ harddiskvolume2 \ program files \ xyz.exe

Я шукав ту саму проблему, і ні Переглядач подій (жодних подій), ні опція pfirewall.log (без назви порушення програми) не допомогли мені визначити, що відбувається.

Озираючись, мені подобається Windows Firewall Notifier , який навіть надає графічний інтерфейс, який показує програму, яка порушує права, і дозволяє генерувати правила винятків (вам потрібно запустити WFN, щоб створити правила, а не винятки, коли ви телефонуєте вперше).

Спробуйте утиліту Sysmon від SysInternals. Його просто встановить і робить дуже хороший лісозаготівлю. Журнали дадуть вам усі деталі, включаючи програму, шлях до файлу тощо, який ініціює з'єднання. Сподіваюся, це допомагає.