More

    Comment activer la journalisation du pare-feu Windows Defender pour une sécurité optimale

    Comment lire et analyser les journaux du pare-feu

    Après avoir activé Windows Defender Firewall Logging, l’étape suivante consiste à lire et à analyser les fichiers journaux pour obtenir des informations utiles. Voici le guide complet :

    Autres articles intéressants

    1. Ouverture du fichier journal

    Les fichiers journaux du pare-feu sont généralement stockés aux emplacements suivants :

    C :\Windows\System32\LogFiles\Firewall\pfirewall.log

    Vous pouvez ouvrir ces fichiers journaux à l’aide de plusieurs outils, tels que :

    • Notepad++ : un éditeur de texte léger qui prend bien en charge le formatage des journaux.
    • Event Viewer : Outils Windows intégrés qui peuvent être utilisés pour afficher les journaux système, y compris les pare-feu.
    • Log Parser : Un outil de Microsoft qui vous permet d’analyser les journaux avec des requêtes SQL.

    2. Identifier les menaces

    Après avoir ouvert le fichier journal, vous verrez des colonnes importantes qui peuvent vous aider à analyser l’activité du réseau. Voici quelques informations clés à noter :

    • IP Address : L’adresse IP de la source ou de la destination impliquée dans la connexion.
    • Port Number : port utilisé pour la connexion (par exemple, port 80 pour HTTP ou port 443 pour HTTPS).
    • État de la connexion : si la connexion a réussi (ALLOW) ou si elle a été bloquée (DROP).

    Exemple de journal :

    2023-10-15 112 :34 :56 ALLOW TCP 192.168.1100203.0.13.45 80 443
2023-10-115 112 :35 :10 DROP TCP 192.168.1110  198.51.110.10102 54321

    D’après l’exemple ci-dessus :

    • La première ligne indique la connexion autorisée de l’IP 192.168.1.100 à l’IP 203.0.113.45 sur le port 80 (HTTP).
    • La deuxième ligne indique que la connexion est bloquée de l’IP 192.168.1.100 à l’IP 198.51.100.10 sur le port 22 (SSH).

    3. Utilisation de PowerShell pour une analyse plus approfondie

    PowerShell est un outil très utile pour analyser plus en profondeur les journaux du pare-feu. Vous pouvez utiliser les commandes suivantes pour lire et filtrer les journaux :

    Get-Content C :\Windows\System32\LogFiles\Firewall\pfirewall.log

    Pour une analyse plus spécifique, vous pouvez utiliser des commandes PowerShell telles que :

    Recherchez les connexions bloquées :

    Get-Content C :\Windows\System32\LogFiles\Firewall\pfirewall.log | Select-String “DROP”

    Rechercher une activité à partir d’une adresse IP spécifique :

    Get-Content C :\Windows\System32\LogFiles\Firewall\pfirewall.log | Select-String “192.168.1.100”

    Recherche d’activité sur un port spécifique :

    Get-Content C :\Windows\System32\LogFiles\Firewall\pfirewall.log | Select-String ““ :43”

    4. Conseils pour l’analyse des journaux

    • Surveiller les adresses IP inconnues : Si vous voyez une adresse IP inconnue qui tente d’accéder à votre système, bloquez immédiatement l’adresse IP.
    • Vérifier les ports inhabituels : Les ports inhabituels (par exemple, les ports supérieurs à 50000) peuvent indiquer une activité suspecte.
    • Utiliser des outils de visualisation : pour les journaux volumineux, envisagez d’utiliser des outils tels que Microsoft Log Parser Studio ou ELK Stack pour faciliter la visualisation des données.

    Dernières articles

    Articles Connexes