บทความนี้ผมมีวิธีการคอนฟิก Windows Firewall บน Windows 7, 8, 8.1 และ 10 เพื่อให้ทำการบันทึกการทำงานว่าได้อนุญาตหรือดร็อปข้อมูลอะไรบ้างมาฝากครับ ซึ่งข้อมูลที่ได้สามารถนำไปใช้งานได้หลายรูปแบบ เช่น ใช้มอนิเตอร์และติดตามการทำงานของระบบ หรือใช้เป็นข้อมูลประกอบการคอนฟิกและแก้ปัญหาการทำงานของบริการต่างๆ บนระบบ
Windows Firewall
Windows Firewall เป็นคุณสมบัติการรักษาความปลอดภัยใน Windows ซึ่งทำหน้าที่เป็นไฟร์วอลล์เฝ้าระวังการบุกรุกระบบและกรองข้อมูลตามกฏ (Rule) ที่กำหนด Windows Firewall ถูกนำมาใช้ครั้งแรกใน Windows XP โดยแรกเริ่มนั้นใช้ชื่อว่า Internet Connection Firewall แต่ต่อมาได้เปลี่ยนชื่อเป็น Windows Firewall ใน Windows XP Service Pack 2 ในปี 2547 (ปี 2004) และมีใช้งานต่อเนื่องมาจนถึง Windows 10 ในปัจจุบัน
โดยทั่วไป Windows Firewall จะทำงานโดยเริ่มต้น แต่มันไม่ได้เก็บบันทึกรายละเอียดการทำงาน (Log) นั่นคือไม่ได้บันทึกข้อมูลที่อนุญาตให้ผ่านเข้าเครื่องและข้อมูลถูกดร็อป (Drop) ไม่ให้ผ่านเข้าเครื่อง ดังนั้นถ้าคุณต้องการเก็บบันทึกรายละเอียดการทำงานของ Windows Firewall คุณจะต้องทำการคอนฟิกเองตามขั้นตอนดังนี้
1. เปิด Windows Firewall with Advanced Security โดยกดแป้นพิมพ์ Windows + R จากนั้นพิมพ์ wf.msc (ต้องป้อนนามสกุล .msc ด้วยนะครับ) ในช่อง Open เสร็จแล้วคลิก OK หรือกดปุ่ม Enter
ทิป: Windows 10 – เปิด Windows Firewall with Advanced Security ได้โดยการค้นหา firewall ด้วย Cortana
2. บนหน้าต่าง Windows Firewall with Advanced Security ให้คลิกขวาบน Windows Firewall with Advanced Security on Local computer แล้วเลือก Properties
รูปที่ 1
3. บนแถ็บ Domain Profile ภายใต้หัวข้อ Logging ให้คลิก Customize
รูปที่ 2
4. โดยเริ่มต้น Windows จะไม่เก็บบันทึกรายละเอียดการทำงาน เนื่องจาก Log dropped packets และ Log successful connections เป็น No บนหน้านี้ให้คุณทำการคอนฟิกตามความต้องการ ดังนี้ เสร็จแล้วคลิก OK
- ให้ Windows Firewall เก็บบันทึกการดร็อปข้อมูลขาเข้า = คอนฟิก Log dropped packets เป็น Yes
- ให้ Windows Firewall เก็บบันทึกการอนุญาตให้ข้อมูลผ่าน = คอนฟิก Log successful connections เป็น Yes
- ตั้งค่า Size limit (KB) ตามความต้องการ (ค่าเริ่มต้นเป็น 4,096 KB)
รูปที่ 3
หมายเหตุ: โดยเริ่มต้น ไฟล์เก็บบันทึกข้อมูลการทำงานของ Windows Firewall ชื่อ pfirewall.log และเก็บอยู่ในโฟลเดอร์ %windir%\system32\logfiles\firewall\pfirewall.log (โดยทั่วไป %windir% คือ C:\Windows\)
5. คลิกแท็บ Private Profile แล้วทำขั้นตอนที่ 3-4 อีกครั้ง
6. คลิกแท็บ Public Profile แล้วทำขั้นตอนที่ 3-4 อีกครั้ง
7. บนหน้าWindows Firewall with Advanced Security on Local computer คลิก OK
การดู Log ของ Windows Firewall
การดู Log ของ Windows Firewall สามารถทำได้จากหน้า Windows Firewall with Advanced Security โดยคลิก Monitoring จากนั้นคลิกลิงก์ที่อยู่ใน Logging Settings (รูปที่ 4) จะได้หน้าต่าง pfirewall.log – Notepad ดังรูปที่ 5
รูปที่ 4
รูปที่ 5
สุดท้ายนี้ สำหรับผู้ใช้ Windows ที่ต้องการเก็บบันทึกรายละเอียดการทำงานของ Windows Firewall สามารถนำวิธีการด้านบนไปประยุกต์ใช้งานตามความเหมาะสมครับ
แหล่งข้อมูล
TN: Configure the Windows Firewall Log
