11 marzo, 2018

Ver el log del firewall de Windows en tiempo real [pfirewall.log]

Para poder ver el log del firewall de Windows en tiempo real primero tendremos que habilitar la creación y almacenamiento del log.

Windows le asigna el nombre por defecto pfirewall.log ubicado en "%systemroot%\System32\LogFiles\Firewall\pfirewall.log".

Para configurar el log del firewall (firewall.cpl) nos vamos a las propiedades avanzadas de WFAS (Windows Firewall Advanced Security), eligiremos el perfil en el que se registrará el log y lo persnoalizamos, especificando un path en el que se almacenará el registro de log o simplemente dejaremos el que Windows establece por defecto. Opcionalmente podemos registrar los paquetes descartados y/o los paquetes correctos.

Estableciendo el path y opciones del registro de log del Firewall de Windows.
Figura 1: Estableciendo el path y opciones del registro de log del Firewall de Windows.

En el editor de directivas de grupo local (gpedit.msc) habilitamos la GPO local que permitir el registro del log del Firewall de Windows Defender, en el caso de Windows 10 es el mismo que el firewall de Windows simplemente aquí se llama de otra manera o mejor dicho, en Windows 10 se le otorga ese nombre.

Habilitar la GPO local que permite el registro de log para el Firewall de Windows Defender.
Figura 2: Habilitar la GPO local que permite el registro de log para el Firewall de Windows Defender.

Finalmente el paso que da lugar al título de esta entrada. ¿Cómo poder ver este log en tiempo real?.

Para ello hacemos uso de la colección de herramientas desarrollada por Cygnus Cygwin la cual descargamos e instalamos en nuestro equipo.

Esta nos proporciona un sistema POSIX. Una shell que nos permite ejecutar una suite de herramientas de comandos de sistemas Unix. Proporcionando así un compartamiento similar a sistemas Unix en entornos Windows.

El comando tail en sistemas Unix muestra las últimas líneas de uno o más archivos, si se acompaña del parámetro -f podemos ver las últimas líneas de un archivo en tiempo real, si el sistema estuviese escribiendo en ese mismo instante.

Con la siguiente instrucción a través de la shell que nos proporciona Cygwin podemos entonces ver en tiempo real el log del firewall de Windows.
tail -f /cygdrive/c/Windows/System32/LogFiles/Firewall/pfirewall.log
Otra alternativa a "tail -f" sería "less +F", o simplemente el comando less y una vez que estemos visualizando el fichero presionar "Shift+F", con esto veremos el fichero a tiempo real y podremos interrumpir el proceso en cualquier momento con "Ctrl+C" y con los cursores del teclado nos podemos desplazar por el fichero un punto anterior para poder analizarlo, si queremos nuevamente volver a visualizar el fichero en tiempo real con "Shift+F", de modo que en ningún momento se cierre el fichero. Con la letra "q" saldríamos del less y por lo tanto del fichero que estemos visualizando.

Log en tiempo real del log del firewall de Windows pfirewall.log.
Figura 3:Log en tiempo real del log del firewall de Windows pfirewall.log.

Saludos!

No hay comentarios:

Publicar un comentario

Entradas Relacionadas