Windows 10 防火墙启用详细日志记录全攻略
方法一:通过防火墙高级设置 (推荐)
-
打开防火墙高级设置
-
按Win+R,输入wf.msc,回车
-
在 "Windows Defender Firewall with Advanced Security" 窗口中,右键点击顶部节点,选择 "属性"
-
配置各网络配置文件的日志
-
在打开的属性窗口中,依次点击"域配置文件"、"专用配置文件"、"公用配置文件" 选项卡
-
在每个配置文件的 "日志记录"部分,点击"自定义..." 按钮
-
启用详细日志选项
-
在 "日志设置" 对话框中:
-
勾选 "日志丢弃的数据包"(记录被阻止的连接)
-
勾选 "日志成功的连接"(记录允许的连接)
-
(可选)设置 "日志最大文件大小"(建议从默认的 4MB 改为20MB 以上,避免日志被快速覆盖)
-
(可选)修改 "日志文件路径"(默认:%windir%System32LogFilesFirewallpfirewall.log)
-
点击 "确定" 保存
-
启用详细日志 (Verbose)
-
在防火墙高级设置窗口,展开左侧的 "监视"
-
右键点击 "FirewallVerbose",选择"启用日志"
方法二:使用命令行快速启用 (适合批量部署)
以管理员身份打开命令提示符或 PowerShell,执行以下命令:
1. 启用所有配置文件的数据包日志
cmd
netsh advfirewall set allprofiles logging droppedconnections enable
2. 启用所有配置文件的连接成功日志
cmd
netsh advfirewall set allprofiles logging allowedconnections enable
3. 设置日志文件位置和大小
cmd
netsh advfirewall set allprofiles logging filename "%windir%System32LogFilesFirewallpfirewall.log"
netsh advfirewall set allprofiles logging maxfilesize 20480 # 20MB
4. (可选)使用 PowerShell 启用
powershell
Set-NetFirewallProfile-All-LogDroppedPackets Enabled-LogAllowedConnections Enabled-LogFileName":windirSystem32LogFilesFirewallpfirewall.log"
验证设置是否生效
-
查看日志文件:打开C:WindowsSystem32LogFilesFirewallpfirewall.log(需管理员权限),应看到类似以下格式的记录:
plaintext
#Fields: date time action protocol src-ip dst-ip src-port dst-port size ...
2025-12-25 10:30:45 DROP TCP 192.168.1.100 10.0.0.1 50000 80 60 ...
-
通过事件查看器:
-
按Win+R,输入eventvwr.msc
-
导航到 "应用程序和服务日志 → Microsoft → Windows → Windows Defender Firewall with Advanced Security"
-
查看 "Firewall"和"FirewallVerbose" 日志
常见问题与解决方案
|
问题
|
解决方案
|
|
日志文件不存在
|
确认已启用日志记录(勾选 "日志丢弃的数据包" 或 "日志成功的连接")
|
|
日志无新条目
|
确保防火墙正在阻止或允许流量,可尝试用另一设备 ping 此电脑测试
|
|
日志文件太小
|
增加 "日志最大文件大小"(建议至少 20MB)
|
|
仅记录部分流量
|
确保已为所有网络配置文件(域 / 专用 / 公用)启用日志
|
总结
要启用 Windows 10 防火墙详细日志,关键是同时开启 "日志丢弃的数据包" 和 "日志成功的连接"两个选项,并设置足够大的日志文件空间。推荐使用图形界面配置(方法一),直观且不易出错;若需批量配置多台电脑,可使用命令行方法(方法二)提高效率。
|
赣公网安备 36082102000008号