Windows 10 防火墙详细日志查看全攻略
Windows 10 防火墙日志记录了所有被阻止 / 允许的网络连接,是排查网络问题、安全审计的重要工具。以下介绍三种查看方法:
一、通过事件查看器 (推荐)
1. 打开事件查看器
-
按Win+R,输入eventvwr.msc,回车
-
或通过 "控制面板→管理工具→事件查看器" 打开
2. 导航到防火墙日志
-
在左侧导航栏,展开: plaintext 应用程序和服务日志 → Microsoft → Windows → Windows Defender Firewall with Advanced Security
-
选择以下日志查看:
-
Firewall:常规防火墙事件 (默认)
-
FirewallVerbose:详细日志 (需手动启用)
-
ConnectionSecurity:连接安全规则事件
3. 查看日志内容
-
右侧窗口显示事件列表,双击条目查看详情
-
关键信息:事件 ID (如 5152 表示数据包被阻止)、时间、源 IP、目标端口、操作类型
二、直接查看日志文件 (适合深度分析)
1. 定位日志文件
-
默认路径:C:WindowsSystem32LogFilesFirewallpfirewall.log
-
使用环境变量:%windir%System32LogFilesFirewallpfirewall.log
2. 打开日志文件
-
以管理员身份运行记事本 / 文本编辑器
-
直接拖入文件或通过 "文件→打开" 浏览选择
-
注意:日志文件可能被占用,可先复制到其他目录再查看
3. 理解日志格式 日志为 W3C 扩展格式,常见字段: plaintext #Fields: date time action protocol src-ip dst-ip src-port dst-port size ...
2025-12-25 10:30:45 DROP TCP 192.168.1.100 10.0.0.1 50000 80 60 ...
-
action:DROP (阻止)/ALLOW (允许)
-
protocol:TCP/UDP/ICMP
-
src-ip/dst-ip:源 / 目标 IP 地址
-
src-port/dst-port:源 / 目标端口
三、配置日志记录 (如尚未启用)
1. 通过防火墙高级设置启用
-
按Win+R,输入wf.msc,回车
-
右键点击 "Windows Defender Firewall with Advanced Security",选择 "属性"
-
在各网络配置文件 (域 / 专用 / 公用) 选项卡下:
-
点击 "日志记录" 区域的 "自定义..."
-
勾选 "日志丢弃的数据包"(记录被阻止的连接)
-
勾选 "日志成功的连接"(记录允许的连接)
-
建议将 "日志最大文件大小" 设为 20MB 以上 (默认 4MB 太小)
-
可自定义路径 (如添加配置文件名称区分:pfirewall_Private.log)
2. 使用命令行快速启用 cmd # 启用所有配置文件的数据包阻止日志
netsh advfirewall set allprofiles logging droppedconnections enable
# 启用所有配置文件的连接成功日志
netsh advfirewall set allprofiles logging allowedconnections enable Microsoft Learn
四、实用技巧与注意事项
1. 筛选关键信息
-
在事件查看器中,右键点击日志,选择 "创建自定义视图..."
-
筛选条件:事件 ID=5152 (阻止) 或 5156 (允许),时间范围,特定 IP / 端口
2. 日志文件管理
-
定期备份重要日志 (防止覆盖)
-
日志达到最大大小时,旧条目会被自动删除
-
建议为不同网络配置文件使用单独日志文件 (如pfirewall_Domain.log)
3. 常见问题排查
-
日志文件不存在:检查路径权限 (需为NT SERVICEmpssvc添加完全控制)
-
日志无新条目:确认已启用 "日志丢弃的数据包" 或 "日志成功的连接"
总结
Windows 10 防火墙日志是诊断网络问题的强大工具,推荐先通过事件查看器进行日常监控,遇到复杂问题时使用日志文件分析,高级用户可结合命令行 / PowerShell进行自动化查询。记得先启用日志记录功能 (默认关闭),并适当调整日志大小设置,避免关键信息丢失。 |
赣公网安备 36082102000008号