Windows防火墙日志一般分为三行，第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况；第二行为TCP数据包的标志位，共有六位标志位，分别是：URG、ACK、PSH、RST、SYN、FIN，在日志上显示时只标出第一个字母。那么如何记录防火墙日志呢？以下就是分析过程：

记录被丢弃的连接就可以，不然1T的硬盘估计都装不下这防火墙日志。

打开防火墙日志会看到这样的：

#Version: 1.5  
#Software: Microsoft Windows Firewall  
#Time Format: Local  
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path  
 
2011-05-14 14:45:44 DROP TCP 121.14.11.62 192.168.1.100 80 35106 40 A 3456172238 1370391300 27 – - – RECEIVE  
2011-05-14 14:45:52 DROP TCP 219.133.60.173 192.168.1.100 443 65124 169 AP 2086682883 794527494 24480 – - – RECEIVE 

前面的2011-05-14 14:45:44就不用说了，当然是日期

DROP 就是丢弃数据包

TCP 以TCP方式连接

121.14.11.62 192.168.1.100 80

这个121.14.11.62是连接者IP 192.168.1.100是本机IP 80是端口

35106 40 A 3456172238 1370391300 27

这些就是对方端口之类的，不用管RECEIVE指入站包，如果是SEND则是你发出去包。

通过分析这些防火墙日志，就可以找出潜在威胁，比如谁尝试连接你的终端端口连接终端是有目的的：

1.无聊分子瞎弄

2.已经成功提权了（或社工）了你的密码，想通过终端进入服务器

Windows防火墙日志分析过程就为大家介绍完了，希望读者已经掌握和理解了，我们还会继续为大家提供相关文章，敬请关注。

【编辑推荐】

1. Windows组策略保障共享目录安全
2. Windows 7恶意软件感染率增长30%
3. 安全设置Windows组策略有效阻止黑客
4. 用默认设置下的IPv6漏洞攻击Windows系统
5. 微软发布关键Windows公告　改变可利用系数