none
Windows 2008本機防火牆問題 RRS feed

  • 問題

  • 大家好

    小弟日前安裝一台windows 2008+kiwilog作為log伺服器

    發現windows 2008的防火牆有一個奇怪的問題

    目前本機防火牆policy設定針對kiwilog這個應用程式的傳入(udp & tcp)ant to any allow

    結果有些IP(不管同不同網段)的log可以收,有些不行

    EX:192.168.0.1跟192.168.0.3可以收,可是192.168.0.2不收

    然後本機防火牆關掉後就一切安好

    不知道有沒有哪位先進有遇過這種奇怪的狀況?

    另外想請教一下,如何關閉本機防火牆產生的log?

    原本想說開另一台主機來收這台log伺服器的syslog

    結果發現這台log伺服器每收到一筆log就會同時產生一筆本機防火牆的syslog

    變成會有一堆無用的本機防火牆log的產生

    麻煩大家了,感謝: )

    • 已變更類型 George.Chang 2014年10月30日 上午 09:40 Customer Discontinued
    • 已變更類型 George.Chang 2014年10月31日 上午 01:47 問題解決
    2014年10月20日 上午 09:59

解答

  • Hi 謝阿尊

    event log就像系統流水帳,目前知道沒有辦法針對特定的事件進行調整,

    但您可以嘗試調整稽核的項目,可以變更特定的行為是否產生log的方式


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    • 已標示為解答 謝阿尊 2014年10月31日 上午 03:08
    2014年10月24日 上午 02:16

所有回覆

  • 在進階安全性的防火牆設定畫面中,
    在最上層右鍵內容找到目前套用的環境是哪一個,
    嘗試把紀錄成功的連線取消看看


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2014年10月21日 上午 01:50
    版主
  • 蘇先生您好

    您說的方法我這邊有試過

    那邊的設定好像只影響會不會存到指定的log檔案中

    可是syslog還是會有

    2014年10月21日 上午 01:56
  • Hi 謝阿尊

    您可以調整以下設定,直接關閉log或是限制大小。

    檢驗防火牆操作事件日誌

    1. 在 MBRSVR1 上,依序按一下 [開始][系統管理工具]  [事件檢視器]

    2. 在瀏覽窗格中依序展開 [應用程式和服務記錄][Microsoft][Windows],然後展開 [具有進階安全性的 Windows 防火牆]

    3. 檢驗 [具有進階安全性的 Windows 防火牆] 節點底下的四個類別。具有進階安全性的 Windows 防火牆 的兩個主要函數,IPsec 及主機型防火牆將其事件分別儲存在 [ConnectionSecurity]  [防火牆] 節點底下。預設會停用 [ConnectionSecurityVerbose]  [FirewallVerbose] 節點。

    4. 在瀏覽窗格中,選取 [防火牆] 節點。

      會顯示各種事件。這些事件記錄防火牆操作狀態的設定變更。這些事件應該有事件識別碼 2002、2003、2004, 2008、2010、2011 及 2012。如果您在 CLIENT1 上開啟「事件檢視器」,也會看到事件識別碼 2005 及 2006,該識別碼記錄修改然後刪除規則 "A Test Rule"。

    5. 選取最上方具有事件識別碼 2003 的事件。如果您遵循本指南的步驟,此事件是網域設定檔中記錄檔路徑設定的變更,造成的原因是套用修改的成員伺服器 GPO。

    6. 若要啟用詳細資訊記錄,在 [ConnectionSecurityVerbose]  [FirewallVerbose] 上按一下滑鼠右鍵,然後按一下 [啟用記錄]


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2014年10月23日 上午 02:19
  • George.Chang您好

    由於公司要求主機log需要另外存放

    因此僅縮小本機event大小還是沒辦法解決問題

    不知道有沒有工具可以詳細修改防火牆相關event log?

    2014年10月24日 上午 01:27
  • Hi 謝阿尊

    event log就像系統流水帳,目前知道沒有辦法針對特定的事件進行調整,

    但您可以嘗試調整稽核的項目,可以變更特定的行為是否產生log的方式


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    • 已標示為解答 謝阿尊 2014年10月31日 上午 03:08
    2014年10月24日 上午 02:16
  • 您好,歡迎您將後續測試結果回報至論壇,或將對您有幫助的回覆標示為解答,以利討論的進行並幫助其他有類似問題的朋友。謝謝您!

    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2014年10月28日 上午 02:49
  • George.Chang您好

    感謝您的協助,終於可以省掉一堆log的空間了

    然後防火牆問題後來不知道為什麼自己就好了= =

    話說要怎麼標示為解答啊?

    剛找了一下沒看到這個按鈕或連結

    2014年10月30日 上午 11:11
  • Hi 謝阿尊

    因為您後續沒有來update您的處理情況,所以就將您的問題改成討論,

    目前我已經再變更回來,再麻煩您將有幫助的回覆標示為解答。

    謝謝您


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2014年10月31日 上午 01:48