TUTOS.EU

Voir et configurer le log du Firewall Windows

Configurer et accéder au firewall de Windows

Par défaut les logs du Firewall ne sont pas activés et sont dans cet emplacement :

%systemroot%\system32\LogFiles\Firewall\
Lien vers le fichier : cliquez ici

Le plus pratique est de paramétrer le firewall avec netsh

netsh advfirewall set allprofiles state on
netsh advfirewall set allprofiles logging filename C:\pfirewall.log
netsh advfirewall set allprofiles logging maxfilesize 8192
netsh advfirewall set allprofiles logging droppedconnections enable
netsh advfirewall set allprofiles logging allowedconnections disable
Lien vers le fichier : cliquez ici

Autres commandes netsh :

netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound 
netsh advfirewall set allprofiles settings inboundusernotification enable
netsh advfirewall set allprofiles settings unicastresponsetomulticast enable
Lien vers le fichier : cliquez ici

Vous pouvez définir un log par profil

netsh advfirewall set Domainprofile logging filename C:\pfirewall_Domainprofile.log
netsh advfirewall set Privateprofile logging filename C:\pfirewall_Privateprofile.log
netsh advfirewall set Publicprofile logging filename C:\pfirewall_Publicprofile.log
Lien vers le fichier : cliquez ici

Avant d'utiliser netsh advfirewall on utilisait la commande netsh firewall et cela donnait

netsh firewall set logging C:\pfirewall.log 4096 ENABLE DISABLE
Lien vers le fichier : cliquez ici

Pour les activer via l'interface graphique, appuyez sur Windows + r
puis entrez WF.msc

Cliquez sur Properties

Pour chaque profil cliquez sur Customize au niveau de "Logging"

Passez à Yes les logs puis cliquez sur Ok

On peut également paramétrer par GPO

Ou via des clés de registre, mais c'est peu pratique :

REG ADD "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile" /v "EnableFirewall" /t REG_DWORD /d 1 /f
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile" /v "EnableFirewall" /t REG_DWORD /d 1 /f


REG ADD "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\Logging" /v "LogDroppedPackets" /t REG_DWORD /d 1 /f
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging" /v "LogDroppedPackets" /t REG_DWORD /d 1 /f

REG ADD "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging" /v "LogSuccessfulConnections" /t REG_DWORD /d 1 /f
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging" /v "LogFilePath" /t REG_SZ /d "%systemroot%\system32\LogFiles\Firewall\pfirewall.log" /f
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging" /v "LogFileSize" /t REG_DWORD /d 4096 /f
Lien vers le fichier : cliquez ici

Notez que les paramètres modifiés par clé de registre sont considérés comme réglés par GPO ce qui fait qu'on ne peut plus les modifier via l'interface graphique

Pour effacer ces clés de registre faites ainsi :

REG DELETE "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile" /v "EnableFirewall" /f
REG DELETE "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile" /v "EnableFirewall" /f

REG DELETE "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\Logging" /v "LogDroppedPackets" /f
REG DELETE "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging" /v "LogDroppedPackets" /f

REG DELETE "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging" /v "LogSuccessfulConnections" /f
REG DELETE "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging" /v "LogFilePath" /f
REG DELETE "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging" /v "LogFileSize" /f
Lien vers le fichier : cliquez ici

Pages Web

Site WebDescription
Technet.microsoft.comAdministration du Pare-feu Windows avec fonctions avancées de sécurité dans Windows PowerShell
Support.microsoft.comComment utiliser netsh advfirewall au lieu de netsh firewall