防火墙规则日志怎么看
家里的路由器、公司用的服务器,甚至你电脑自带的防火墙,其实都在默默记录着各种网络访问行为。这些记录就是防火墙规则日志。想查谁连过你的设备,或者为什么某个软件上不了网,就得翻日志。
先找到日志在哪
不同设备位置不一样。家用路由器一般得登录管理页面,地址通常是 192.168.1.1 或 192.168.0.1,登录后找“系统日志”或“安全日志”这类选项。企业级防火墙比如华为、H3C,可能得用命令行进设备查看,路径类似 /log/firewall.log。
Windows 自带的防火墙日志默认不开启,得手动打开。控制面板 → Windows Defender 防火墙 → 高级设置 → 监视 → 日志设置,把日志文件路径记下来,默认是 %systemroot%\system32\logfiles\firewall\pfirewall.log。
看懂日志内容
打开日志文件,你会看到一堆文本。典型的条目长这样:
2024-05-13 14:23:01 DROP TCP 192.168.1.100:50432 -> 10.0.0.5:80 SYN这里 DROP 表示这条连接被拦截了,TCP 是协议类型,源地址是 192.168.1.100 的 50432 端口,目标是 10.0.0.5 的 80 端口,SYN 是连接请求。如果看到大量 DROP,可能是规则太严,也可能是有人在扫你端口。
如果是 ALLOW,说明放行了。比如:
2024-05-13 14:25:10 ALLOW UDP 192.168.1.200:123 -> 8.8.8.8:123这大概率是自动对时请求,正常行为。
常见问题排查场景
你同事说连不上打印机,去防火墙日志一查,发现全是 DROP 打印机 IP 的记录。原来是新设的规则没放开打印端口,改一下就通了。
又比如家里孩子玩游戏老掉线,日志里发现游戏客户端往某些国外 IP 发包都被拦了,加个允许规则就好。
日志太多不好读?可以用工具过滤。Linux 下用 grep 过滤关键字:
grep "DROP" /var/log/iptables.log | grep "192.168.1.100"Windows 可以用 PowerShell 或第三方工具如 LogParser 来分析。
关键不是光看日志,而是结合实际问题去定位。每天瞄一眼,异常流量早发现,别等中招了才后悔没看。