Windows Firewallで送信あるいは受信で許可されていない場合には、パケットはドロップ(破棄)されます。
デフォルトではドロップされたパケットはログファイルに記録されませんが、設定を変更することによりドロップパケットをファイルに記録することが可能です。
第一章 Windows ファイアウォールの特徴
第二章 設定方法
第三章 規則の作成(FTPクライアント) 規則の作成(時刻同期) 規則の作成(Windows Update:更新プログラム) 規則の作成(インターネットエクスプローラ) 規則の作成(DHCP,DNS)
第四章 ドロップされたパケットの確認
スポンサード リンク
プロパティより「ログ」で「カスタマイズ」をクリックします。
「破棄されたパケットをログに記録する」で「はい」に設定します。
必要に応じて各プロファイル「ドメインプロファイル」「プライベートプロファイル」「パブリックプロファイル」で設定します。
デフォルトのWindows Firewall のログファイルは以下の通りです。
C:\windows\system32\LogFiles\Firewall\pfirewall.log
以下は PINGの受信を破棄した場合のログファイルのサンプルです。
| #Version: 1.5 #Software: Microsoft Windows Firewall #Time Format: Local #Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path 2016-03-06 02:55:08 DROP ICMP 192.168.11.3 192.168.11.2 - - 60 - - - - 8 0 - RECEIVE 2016-03-06 02:55:08 DROP ICMP 192.168.11.3 192.168.11.2 - - 60 - - - - 8 0 - RECEIVE 2016-03-06 02:55:13 DROP ICMP 192.168.11.3 192.168.11.2 - - 60 - - - - 8 0 - RECEIVE 2016-03-06 02:55:13 DROP ICMP 192.168.11.3 192.168.11.2 - - 60 - - - - 8 0 - RECEIVE 2016-03-06 02:55:18 DROP ICMP 192.168.11.3 192.168.11.2 - - 60 - - - - 8 0 - RECEIVE 2016-03-06 02:55:18 DROP ICMP 192.168.11.3 192.168.11.2 - - 60 - - - - 8 0 - RECEIVE 2016-03-06 02:55:23 DROP ICMP 192.168.11.3 192.168.11.2 - - 60 - - - - 8 0 - RECEIVE 2016-03-06 02:55:23 DROP ICMP 192.168.11.3 192.168.11.2 - - 60 - - - - 8 0 - RECEIVE |
(*)一部のIPアドレスは x.x.x.x に変更しています。
ログファイルの各項目は以下の通りです。
| 項目 | 内容 |
| date | 記録されログの日付。 |
| time | 記録されログの時間。 |
| action | OPEN・・・通信の開始 CLOSE・・・通信の終了 DROP・・・ブロック(ドロップ、拒否、破棄)したパケット。通信は行われていません。 INFO-EVENTS-LOST・・・記録できなかったログ数。 |
| protocol | TCP、UDP、ICMP 、その他番号 (IGMP、Internet Group Managementは2番など) |
| src-ip | 送信元(パケットを送付した機器)のIPアドレス。 |
| dst-ip | 送信先(パケットの送信先の機器)のIPアドレス。 |
| src-port | 送信元のポート。範囲は1 〜 65,535です。TCP/UDP以外はポート番号は無いため−が表示されます。 |
| dst-port | 送信先のポート。範囲は1 〜 65,535です。TCP/UDP以外はポート番号は無いため−が表示されます。 |
| size | パケットサイズです。単位はバイトです。 |
| tcpflags | RFC 793で定義された、IP パケットのTCP ヘッダーに設定されたTCP制御フラグです。 A・・・Ack 受信確認フィールド F・・・Fin 送信側のデータ送信終了 P・・・Psh 強制送信 R・・・Rst 強制切断 S・・・Syn シーケンス番号の同期 U・・・Urg 緊急ポインタフィールド |
| tcpsyn | TCP シーケンス番号。 |
| tcpack | TCP 受信確認番号。 |
| tcpwin | TCP ウィンドウ サイズです。単位はバイトです。 |
| icmptype | ICMP メッセージの Type フィールド。 |
| icmpcode | ICMP メッセージの Code フィールド。 |
| info | その他情報。 |
| path | SEND(送信のイベント)、RECEIVE(受信のイベント)など。 |
参考:pfirewall.logを開くと「アクセスが拒否されました」
以下は各プロトコルをブロックした場合のログ出力のサンプルです。
スポンサード リンク