Windows Defender防火墙日志可通过四种方式启用与查看:一、在“高级安全Windows防火墙”中为域、专用、公用配置文件分别启用日志;二、通过事件查看器筛选安全日志中ID为5156/5157的WFP连接事件;三、用PowerShell命令批量配置并验证日志策略;四、通过Windows Admin Center远程集中管理与检索日志。
一、启用Windows Defender防火墙日志记录
Windows Defender 防火墙默认不记录日志,需手动启用日志功能并指定记录内容。启用后,系统将在指定路径生成 pfirewall.log 文件,用于追踪被阻止或允许的连接行为。
1、按下 Win + R 组合键,输入 wf.msc 并回车,打开“高级安全 Windows 防火墙”管理控制台。
2、在左侧面板中,点击 Windows 防火墙属性。
3、在弹出窗口中,依次选择 域配置文件、专用配置文件 和 公用配置文件 选项卡。
4、在每个选项卡下的“日志”区域,点击 自定义 按钮。
5、勾选 记录被丢弃的数据包 和 记录成功的连接,设置日志文件路径为默认位置(C:\Windows\System32\LogFiles\Firewall\pfirewall.log),并确认日志文件最大大小(建议不低于 4096 KB)。
6、点击 确定 保存所有配置,重复操作确保三个网络配置文件均启用日志。
二、通过事件查看器查看WFP放行与拦截事件
Windows 筛选平台(WFP)会在系统安全日志中记录详细连接决策,包括应用层放行行为,对应事件 ID 为 5156(允许连接)和 5157(阻止连接)。该方式无需额外启用防火墙日志,但需确保安全审核策略已启用相关子类别。
1、右键点击“此电脑”,选择 管理,进入“计算机管理”界面。
2、展开左侧树形菜单: 系统工具 → 事件查看器 → Windows 日志 → 安全。
3、在右侧操作面板中,点击 筛选当前日志。
4、在“事件ID”文本框中输入 5156,5157,点击 确定。
5、列表中将显示所有匹配的连接事件,双击任一事件可查看详细信息,包括源IP、目标端口、应用程序路径及筛选器名称。
三、使用PowerShell命令快速启用并验证日志配置
PowerShell 提供了直接操作防火墙日志策略的接口,可批量配置多个配置文件,并即时查询当前日志状态,避免图形界面逐项操作遗漏。
1、以管理员身份运行 PowerShell。
2、执行以下命令启用全部配置文件的日志记录:
Set-NetFirewallProfile -Profile Domain,Private,Public -LogAllowed True -LogBlocked True -LogFileName "%systemroot%\System32\LogFiles\Firewall\pfirewall.log"
3、执行以下命令确认配置已生效:
Get-NetFirewallProfile | Select-Object Profile,LogAllowed,LogBlocked,LogFileName
4、执行以下命令强制刷新日志服务:
Restart-Service mpssvc
5、等待约30秒后,检查路径 C:\Windows\System32\LogFiles\Firewall\ 下是否生成或更新 pfirewall.log 文件。
四、通过Windows Admin Center远程查看防火墙日志
若目标 Windows 10 设备已加入域或启用了远程管理,可通过 Windows Admin Center 在另一台设备上集中查看防火墙日志内容,支持实时刷新与关键词搜索,适用于多终端管理场景。
1、在浏览器中访问已部署的 Windows Admin Center 地址(如 https://winadmin:6516)。
2、添加目标 Windows 10 计算机为托管节点,确保其启用 WinRM 并配置信任关系。
3、在仪表板中点击该节点,选择 工具 → 事件日志。
4、在日志筛选器中,将“日志”设为 Applications and Services Logs → Microsoft → Windows → Windows Firewall With Advanced Security。
5、点击 筛选,输入关键词 Firewall 或事件 ID 2000(日志启动)、2001(日志关闭)进行定位。
