Брандмауэр подключения к Интернету (Internet Connection Firewall, ICF) ведет свой журнал безопасности. Журнал безопасности ICF поддерживает следующие возможности:
Записывать пропущенные пакеты. Этот параметр создает записи в журнале, содержащие сведения о всех потерянных пакетах, исходящих из локальной сети или из Интернета.
Записывать успешные подключения. Этот параметр создает записи в журнале, содержащие сведения о всех успешных подключениях, инициированных из локальной сети или из Интернета.
Если установить флажок Записывать пропущенные пакеты, будут собираться сведения о каждом пакете, который пытался пройти через ICF, но был обнаружен и отвергнут брандмауэром. Анализируя эти записи, можно выявить все попытки несанкционированного доступа в локальную сеть из Интернета. Так же можно отследить какие службы компьютеров локальной сети пытаются передать данные в Интернет. Последнее может быть вызвано наличием вируса типа "троянский конь" на компьютере в вашей сети. По IP-адресу, сохраненному в журнале, легко определить, какой именно компьютер пытается отправить несанкционированный пакет.
Если установить флажок Записывать успешные подключения, будут собираться сведения о всех успешных подключениях, проходящих через брандмауэр. Например, если пользователь, работающий в сети, успешно войдет на какой-либо веб-узел с помощью обозревателя Internet Explorer, об этом будет записано в журнал.
Журнал безопасности создается в формате Extended Log File Format (расширенный формат файла журнала) и состоит из двух разделов:
В заголовке содержатся сведения о версии журнала и полях, в которые можно записывать данные. Содержимое заголовка имеет вид статического списка.
Тело журнала безопасности представляет собой динамический список; новые данные записываются в конец журнала.
По умолчанию ведение журнала безопасности ICF отключено.
В следующих таблицах описываются сведения, хранящиеся в журнале безопасности.
Заголовок Журнала
Элемент
Описание
Пример
#Version:
Номер установленной версии журнала безопасности брандмауэра подключения к Интернету
1.0
#Software:
Имя журнала безопасности
Брандмауэр подключения к Интернету Microsoft (ICF)
#Time:
Задает использование местного времени при записи в журнал отметок времени
Местное
#Fields:
Статический список полей, доступных для записей журнала безопасности при наличии данных
date, time, action, protocol, src-ip, dst-ip, src-port, dst-port, size, tcpflags, tcpsyn, tcpack, tcpwin, icmptype, icmpcode, and info
Тело журнала
Поле
Описание
Пример
date
Год, месяц и день регистрации события. Дата представляется в следующем формате:
ГГ-ММ-ДД,где ГГ обозначает год, ММ — месяц, а ДД — число
2001-01-27
time
Время регистрации события с точностью до секунды. Время записывается в следующем формате:
ЧЧ:ММ:СС,где ЧЧ обозначает часы в 24-часовом цикле, ММ — минуты, а СС — секунды
21:36:59
action
Операция, зарегистрированная брандмауэром. Могут записываться следующие действия: OPEN (открытие), CLOSE (закрытие), DROP (отклонение) и INFO-EVENTS-LOST (потерянные события). Для действия INFO-EVENTS-LOST указывается число событий, которые имели место, но не были занесены в журнал.
OPEN, CLOSE, DROP, INFO-EVENTS-LOST
protocol
Протокол, использовавшийся для передачи данных. Если протокол отличен от TCP, UDP и ICMP, в этом поле указывается число пакетов
TCP, UDP, ICMP
src-ip
Исходный IP-адрес (адрес компьютера, пытавшегося установить связь). Записывается в следующем формате:
(число).(число).(число).(число)
192.168.0.1
dst-ip
IP-адрес назначения (адрес пункта назначения, с которым исходный компьютер пытался установить связь). Записывается в следующем формате:
(число).(число).(число).(число)
192.168.0.1
src-port
Номер исходного порта на компьютере-отправителе. Номер порта задается целым числом в диапазоне от 1 до 65 535. Действительное значение порта возвращают только протоколы TCP и UDP. Все остальные протоколы не поддерживают параметр src-port, для них в этом поле записывается - (дефис)
4039
dst-port
Порт компьютера назначения. Номер порта задается целым числом в диапазоне от 1 до 65 535. Действительное значение порта возвращают только протоколы TCP и UDP. Все остальные протоколы не поддерживают параметр dst-port, для них в этом поле записывается - (дефис)
53
size
Размер пакета в байтах
60
tcpflags
Флаги управления TCP, содержащиеся в заголовке TCP пакета IP:
A ck Acknowledgment field significant (Включение поля подтверждения)
F in No more data from sender (Конец массива данных отправителя)
P sh Push Function (Функция принудительной доставки)
R st Reset the connection (Сброс подключения)
S yn Synchronize sequence numbers (Синхронизация порядковых номеров)
U rg Urgent Pointer field significant (Включение поля указателя срочных данных)
Флаги записываются прописными буквами. Содержимое полей флагов TCP предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP. Дополнительные сведения о протоколе TCP можно найти в спецификации RFC 793
AFP
tcpsyn
Порядковый номер TCP в пакете. Содержимое поля tcpsyn предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP
1315819770
tcpack
Номер подтверждения TCP в пакете. Содержимое поля tcpack предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP
0
tcpwin
Размер окна TCP в байтах, указанный в пакете. Содержимое поля tcpwin предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP
64240
icmptype
Число, представляющее значение поля Type (Тип) в сообщении ICMP
8
icmpcode
Число, представляющее значение поля Code (Код) в сообщении ICMP
0
info
Сведения, зависящие от типа действия. Например, для действия INFO-EVENTS-LOST записывается число событий, которые произошли с момента последней регистрации события этого типа, но не были занесены в журнал
23
В поля, для которых сведения отсутствуют, записывается символ (-).