Freerk Terpstra » Tools http://freerkterpstra.nl switches, routers, security, voice, wireless... networkgeek :) Sun, 10 Jul 2011 17:41:24 +0000 en hourly 1 http://wordpress.org/?v=3.1.3 Windows Firewall Log Analyzer http://freerkterpstra.nl/index.php/2009/05/windows-firewall-log-analyzer/ http://freerkterpstra.nl/index.php/2009/05/windows-firewall-log-analyzer/#comments Wed, 13 May 2009 18:53:42 +0000 Freerk http://freerkterpstra.nl/?p=8 De Windows Firewall

De standaard firewall in zowel Windows XP, Windows Vista, Windows 7, Windows server 2003 en Windows server 2008 heeft de functionaliteit om al het verkeer te loggen. De output van deze logfile is niet erg gemakkelijk te lezen en je bent er snel het overzicht in kwijt. Om dit wat gemakkelijker te maken heb ik Visual Studio er even erbij gepakt en in VB.net een klein tooltje geschreven. Dit tooltje dient gestart te worden als administrator i.v.m de locatie van het logbestand, namelijk de system32 map.

Afbeelding 1

Afbeelding 1

Inschakelen logging

Start via run wf.msc, klik in het nieuwe venster met de rechtermuisknop op Windows Firewall with Advanced Security on Local Computer en kies voor de optie Properties. Klik vervolgens op het tabblad van het firewall profiel waar logging voor in geschakeld dient te worden. Klik vervolgens op de knop customize in de logging groepbox, zie ook afbeelding 1. Pas de instellingen aan en klik op ok.

Tevens is het loggen van de Windows Firewall ook via policies te doen deze instellingen zijn te vinden onder Computer Configuration -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security.

Het toolje

Het tooltje moet i.v.m de locatie van de logfile als administrator gestart worden. Het programma geeft naast de gegevens uit het logboek ook aan de hand van de uitgaande poort, een indicatie van het type connectie. Hier zitten bij lange na niet alle poorten in, maar het geeft globaal een indicatie. Hieronder worden de filter opties toegelicht.

Day
Kies hier de dag waarvan er gegevens opgehaald moeten worden, afhankelijk van de ingestelde log grote zijn er meestal alleen gegevens sinds de computer aan staat.

IPv6 connecties
Hier kan er gekozen worden wat er met IPv6 connecties gedaan moet worden. De mogelijk keuzes zijn; ja, nee en alleen IPv6 verkeer.

Automatisch refreshen
Het is mogelijk om het tootlje automatisch te laten refreshen, dit wordt hier aangegeven. Deze optie is het meest handig om realtime verkeer te monitoren in combinatie met de “full screen” instelling van max rows.

Max rows
Hier wordt aangegeven hoeveel rows er maximaal zichtbaar zijn, “full screen” is de standaard instelling en zorgt ervoor dat het scherm gevuld word zonder een scrollbalk.

Download (24,5KB)

Afbeelding 2

Windows Firewall Log Analyzer

]]> http://freerkterpstra.nl/index.php/2009/05/windows-firewall-log-analyzer/feed/ 1