Windows 방화벽 로깅 구성
삭제된 패킷 또는 성공적인 연결을 기록하도록 Windows 방화벽을 구성하려면 다음을 사용할 수 있습니다.
- Microsoft Intune과 같은 MDM 솔루션을 사용하는 CSP(구성 서비스 공급자)
- GPO(그룹 정책)
다음 지침에서는 디바이스를 구성하는 방법에 대한 세부 정보를 제공합니다. 요구 사항에 가장 적합한 옵션을 선택합니다.
Intune/CSP
GPO- Microsoft Intune 관리 센터에 로그인
- 엔드포인트 보안>방화벽>정책 만들기>Windows 10, Windows 11 및 Windows Server>Windows 방화벽>만들기로 이동합니다.
- 이름을 입력하고 필요에 따라 다음 설명을> 입력합니다.
-
구성 설정에서 각 네트워크 위치 유형(도메인, 프라이빗, 퍼블릭)에 대해 다음을 구성합니다.
- 로그 파일 경로
- 로그 삭제된 패킷 사용
- 로그 성공 연결 사용
- 로그 최대 파일 크기
- 다음을선택합니다.>
- 다음>만들기를 구성 > 하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책 할당
팁
원하는 경우 설정 카탈로그 정책을 사용하여 Windows 방화벽 로깅을 구성할 수도 있습니다.
또는 방화벽 CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.
| 네트워크 프로필 | 설정 |
|---|---|
| 도메인 | 설정 이름: EnableLogDroppedPackets OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/EnableLogDroppedPackets |
| 도메인 | 설정 이름: LogFilePath OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/LogFilePath |
| 도메인 | 설정 이름: EnableLogSuccessConnections OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/EnableLogSuccessConnections |
| 도메인 | 설정 이름: LogMaxFileSize OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/LogMaxFileSize |
| 개인 정보 보호 | 설정 이름: EnableLogDroppedPackets OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/EnableLogDroppedPackets |
| 개인 정보 보호 | 설정 이름: LogFilePath OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/LogFilePath |
| 개인 정보 보호 | 설정 이름: EnableLogSuccessConnections OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/EnableLogSuccessConnections |
| 개인 정보 보호 | 설정 이름: LogMaxFileSize OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/LogMaxFileSize |
| 공개 | 설정 이름: EnableLogDroppedPackets OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/EnableLogDroppedPackets |
| 공개 | 설정 이름: LogFilePath OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/LogFilePath |
| 공개 | 설정 이름: EnableLogSuccessConnections OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/EnableLogSuccessConnections |
| 공개 | 설정 이름: LogMaxFileSize OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/LogMaxFileSize |
중요
지정한 위치에는 Windows 방화벽 서비스가 로그 파일에 쓸 수 있는 권한이 할당되어 있어야 합니다.
권장 사항
Windows 방화벽 로깅을 구성하기 위한 몇 가지 권장 사항은 다음과 같습니다.
- 로그 파일이 너무 빨리 채워지지 않도록 로깅 크기를 20,480KB(20MB) 이상으로 변경합니다. 최대 로그 크기는 32,767KB(32MB)입니다.
- 각 프로필(도메인, 프라이빗 및 퍼블릭)에 대해 기본 로그 파일 이름을 에서
%windir%\system32\logfiles\firewall\pfirewall.log로 변경합니다.%windir%\system32\logfiles\firewall\pfirewall_Domain.log%windir%\system32\logfiles\firewall\pfirewall_Private.log%windir%\system32\logfiles\firewall\pfirewall_Public.log
- 삭제된 패킷을 예로 로그
- 성공한 연결을 예로 기록합니다.
단일 시스템에서 다음 명령을 사용하여 로깅을 구성할 수 있습니다.
netsh advfirewall>set allprofiles logging allowedconnections enable
netsh advfirewall>set allprofiles logging droppedconnections enable
구문 분석 메서드
Windows 방화벽 로그 파일을 구문 분석하는 몇 가지 방법이 있습니다. 예시:
- WEF( Windows 이벤트 전달)를WEC(Windows 이벤트 수집기 )로 사용하도록 설정합니다. 자세한 내용은 Windows 이벤트 전달을 사용하여 침입 검색 도움말을 참조하세요.
- 로그를 Azure Sentinel과 같은 SIEM 제품으로 전달합니다. 자세한 내용은 Microsoft Sentinel용 Windows 방화벽 커넥터를 참조하세요.
- 로그를 Azure Monitor에 전달하고 KQL을 사용하여 데이터를 구문 분석합니다. 자세한 내용은 Windows 클라이언트 디바이스의 Azure Monitor 에이전트를 참조하세요.
팁
로그가 SIEM 솔루션에 느리게 표시되는 경우 로그 파일 크기를 줄일 수 있습니다. 다운사이징으로 인해 로그 회전이 증가하여 더 많은 리소스 사용량이 발생한다는 것을 주의하세요.
로그 파일을 만들거나 수정하지 않은 경우 문제 해결
Windows 방화벽 로그 파일이 만들어지지 않거나 이벤트가 로그 파일에 기록되지 않는 경우가 있습니다. 이 조건이 발생할 수 있는 몇 가지 예는 다음과 같습니다.
- 폴더 또는 로그 파일에서 Windows Defender 방화벽 서비스 (
mpssvc)에 대한 사용 권한이 누락됨 - 로그 파일을 다른 폴더에 저장하려고 하며 권한이 없거나 자동으로 설정되지 않습니다.
- 정책 설정을 통해 방화벽 로깅을 구성하면 다음과 같은 문제가 발생할 수 있습니다.
- 기본 위치에
%windir%\System32\LogFiles\firewall로그 폴더가 없습니다. - 사용자 지정 경로의 로그 폴더가 없습니다.
- 기본 위치에
두 경우 모두 수동으로 또는 스크립트를 통해 폴더를 만들고 에 대한 mpssvc권한을 추가해야 합니다.
New-Item -ItemType Directory -Path $env:windir\System32\LogFiles\Firewall
폴더 및 파일에 FullControl이 있는지 mpssvc 확인합니다. 관리자 권한 PowerShell 세션에서 다음 명령을 사용하여 올바른 경로를 사용해야 합니다.
$LogPath = Join-Path -path $env:windir -ChildPath "System32\LogFiles\Firewall"
(Get-ACL -Path $LogPath).Access | Format-Table IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags -AutoSize
출력에는 FullControl이 표시됩니다NT SERVICE\mpssvc.
IdentityReference FileSystemRights AccessControlType IsInherited InheritanceFlags
----------------- ---------------- ----------------- ----------- ----------------
NT AUTHORITY\SYSTEM FullControl Allow False ObjectInherit
BUILTIN\Administrators FullControl Allow False ObjectInherit
NT SERVICE\mpssvc FullControl Allow False ObjectInherit
그렇지 않은 경우 에 대한 mpssvcFullControl 권한을 폴더, 하위 폴더 및 파일에 추가합니다. 올바른 경로를 사용해야 합니다.
$LogPath = Join-Path -path $env:windir -ChildPath "System32\LogFiles\Firewall"
$NewAcl = Get-Acl -Path $LogPath
$identity = "NT SERVICE\mpssvc"
$fileSystemRights = "FullControl"
$inheritanceFlags = "ContainerInherit,ObjectInherit"
$propagationFlags = "None"
$type = "Allow"
$fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $inheritanceFlags, $propagationFlags, $type
$fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList
$NewAcl.SetAccessRule($fileSystemAccessRule)
Set-Acl -Path $LogPath -AclObject $NewAcl
디바이스를 다시 시작하여 Windows Defender 방화벽 서비스를 다시 시작합니다.