Брандмауэр Windows: ведение журнала / уведомление о попытках исходящего запроса

Я пытаюсь настроить брандмауэр Windows в режиме повышенной безопасности, чтобы регистрировать и сообщать мне, когда программы пытаются отправлять исходящие запросы. Раньше я пытался установить ZoneAlarm, который работал для меня в Windows XP. Но сейчас я не могу установить ZoneAlarm на Windows 7.

Можно ли каким-то образом отслеживать журнал или получать уведомления, когда программа пытается это сделать, если я установил для всех исходящих соединений автоматическую блокировку, чтобы я мог затем создать определенное правило для программы и заблокировать его?

Обновление
Я включил все параметры ведения журнала, доступные через окна свойств брандмауэра Windows с расширенной консолью безопасности. Но я вижу только логи в %systemroot%\system32\LogFiles\Firewall\pfirewall.logфайле, а не в Event Viewer, как подсказывает первый ответ.

Тем не менее, журналы, которые я могу видеть, только сообщают мне IP-адреса назначения или ответа, и было ли соединение разрешено или заблокировано. Но это не говорит мне, из какого исполняемого файла это происходит. Я хочу узнать путь к файлу исполняемого файла, из которого поступает каждый заблокированный запрос. До сих пор я не смог.

Вы должны увидеть это в окне просмотра событий . Сначала вам нужно настроить параметры ведения журнала в консоли расширенных настроек :

На левой панели Просмотр событий разверните узел Журнал приложений и служб -> Microsoft -> Windows -> Брандмауэр Windows в режиме повышенной безопасности :

Там вы можете создать собственное представление и отфильтровать журнал только для попыток исходящего соединения.

В Windows 7 и 8 вам необходимо сначала включить аудит неудачных соединений.

Политика локального компьютера (Выполнить: GPEdit.msc)> Конфигурация компьютера> Параметры Windows> Параметры безопасности> Локальные политики> Политика аудита> Аудит доступа к объекту: сбой

Теперь потерянные соединения вместе с соответствующим именем исполняемого файла должны отображаться в:

Журнал событий> Журналы Windows> Безопасность:

1. Платформа фильтрации Windows заблокировала пакет: [Код события: 5152]
2. Платформа фильтрации Windows заблокировала соединение: [Код события: 5157]

Здесь вы найдете:

Имя приложения: \ device \ harddiskvolume2 \ program files \ xyz.exe

Я искал ту же проблему, и ни Просмотр событий (без событий), ни опция pfirewall.log (без названия программы-нарушителя) не помогли мне определить, что происходит.

Оглядываясь вокруг, мне нравится Windows Firewall Notifier , который даже предоставляет графический интерфейс пользователя, который показывает программу-нарушитель и позволяет генерировать правила исключений (вам нужно все WFN создавать правила, а не исключения при вызове в первый раз).

Попробуйте утилиту Sysmon от SysInternals. Это простой установщик и делает довольно хорошую регистрацию. Журналы предоставят вам всю информацию, включая программу, путь к файлу и т. Д., Который инициирует соединение. Надеюсь, это поможет.