WindowsServer2019 Windows Defenderファイアウォールのログを有効、取得する方法についての情報になります。
昨今、Windows Firewallを有効にして運用することが多くなりました。以前は、作業上問答無用に無効にしていましたが、セキュリティ上、無効ではなく有効にしてサーバを構築、運用します。
ちなみに、意外と知らない人が多いですが、Windows Server 2019のWindows Defenderファイアウォールは受信はルールに適用されていますが、規定では送信は適用されていません。
そして、Windows Firewallを利用する場合におすすめなのがログを設定することです。というのも、切り分けでWindows Firewallが影響しているかどうかはログを見ることで確認できるからです。
WindowsServer2019 Windows Defenderファイアウォールのログを有効、取得する方法についての情報はこちら
ファイアウォール ログWindows Defender構成する (Windows 10) - Windows security | Microsoft Docs
破棄されたWindows Defender接続をログに記録するためにセキュリティが強化されたファイアウォールを構成するには、グループ ポリシー管理 MMC スナップインの Windows Defender ファイアウォール (セキュリティが強化されたファイアウォール) ノードを使用します。
セキュリティが強化された Windows Defender ファイアウォールログを構成するには
1. グループ ポリシー管理コンソールを開き、 セキュリティがWindows Defenderファイアウォールを構成します。
2. 詳細ウィンドウの [概要] セクション で、[ファイアウォール のプロパティ] Windows Defenderクリックします。
3. ネットワークの場所の種類 (ドメイン、プライベート、パブリック) ごとに、次の手順を実行します。
a. ネットワークの場所の種類に対応するタブをクリックします。
b. [ログ ] の[カスタマイズ] を クリックします。
c. ログの既定のパスは %windir%\system32\logfiles\firewall\pfirewall.log です。 これを変更する場合は、[構成されていない]**** チェック ボックスをオフにして新しい場所へのパスを入力するか****、[参照] をクリックしてファイルの場所を選択します。
重要: 指定する場所には、ファイアウォール サービスがログ ファイルに書き込Windows Defender許可するアクセス許可が割り当てられている必要があります。
d. ログの既定の最大ファイル サイズは 4,096 KB です。 これを変更する場合は、[構成されていない]**** チェック ボックスをオフにして、新しいサイズを KB 単位で入力するか、上下の矢印を使用してサイズを選択します。 ファイルは、このサイズを超えて拡大されるのではありません。制限に達すると、古いログ エントリが削除され、新しく作成されたログ エントリ用の情報が保存されます。
e. 次の 2 つのオプションのいずれかを設定するまで、ログ記録は行われません。
・ファイアウォールが受信ネットワーク パケットをWindows Defenderログ エントリを作成するには、[ログドロップ パケット] を [はい ] に 変更 します。
・ファイアウォールが受信接続を許可Windows Defenderログ エントリを作成するには、[成功した接続のログ] を [はい ] に 変更 します。
f.[OK] を 2回クリックします。
ちなみにサーバ単体、Windows10で設定するには、
①コマンドプロンプトを起動し、以下を実行
②画面右上のの「ローカルコンピューターのセキュリティ~」を右クリックし、「プロパティ」をクリックします。
③プロファイルを選び、ログのカスタマイズをクリックします
④破棄されたパケットログに記録する、正常な接続をログに記録するのログに残したいほうを「いいえ(規定)」から「はい」に変更します。
これでFirewallログが取得されるようになります。