Версия установленного журнала безопасности брандмауэера



Пример




#Version: Версия установленного журнала безопасности брандмауэера Windows. 1.5
#Software: Имя журнала безопасности. Брандмауэр Microsoft Windows
#Time: Задает использование местного времени при записи в журнал отметок времени Местное
#Fields: Статический список полей, доступных для записей журнала безопасности при наличии данных. Эти поля приведены ниже в таблице, относящейся к телу журнала. src-ip


Пример
Дата Год, месяц и день, когда произошла записанная транзакция. Дата представляется в следующем формате: ГГГГ-ММ-ДД где ГГГГ — год, ММ — месяц и ДД — день. 2001-01-27
Время Часы, минуты и секунды, когда произошла записанная транзакция. Время записывается в следующем формате: ЧЧ:ММ:СС где ЧЧ — часы в 24-часовом формате, ММ — количество минут, а СС — количество секунд.21:36:59
Действие Операция, которая была обнаружена брандмауэром. Могут записываться следующие действия: OPEN (открытие), CLOSE (закрытие), DROP (отклонение) и INFO-EVENTS-LOST (потерянные события). Действие INFO-EVENTS-LOST показывает количество событий, которые произошли, но не были записаны в журнал.OPEN
Протокол Протокол, использованный для подключения. Если протокол отличен от TCP, UDP и ICMP, в этом поле указывается число пакетов TCP
src-ip IP-адрес источника (IP-адрес компьютера, который попытался установить подключения). 192.168.0.1
dst-ip IP-адрес назначения попытки подключения. 192.168.0.1
src-port Номер порта источника — компьютера-отправителя. Правильная запись src-port отображается только для протоколов TCP и UDP. Для всех остальных протоколов запись src-port отображается в виде«-». 4039
dst-port Номер порта конечного компьютера. Правильная запись dst-port отображается только для протоколов TCP и UDP. Для всех остальных протоколов запись dst-port отображается в виде «-». 53
size Размер пакета в байтах. 60
tcpflags Флаги управления TCP, найденные в заголовках TCP пакета IP:
  • Ack Acknowledgment field significant (Включение поля подтверждения)
  • Fin No more data from sender (Конец массива данных отправителя)
  • Push function (Функция Push)
  • Rst Reset the connection (Сброс подключения)
  • Syn Synchronize sequence numbers (Синхронизация порядковых номеров)
  • Urg Urgent Pointer field significant (Включение поля указателя срочных данных)
Флаги записываются прописными буквами.		FAP
tcpsyn Последовательность портов TCP в пакете. 1315819770
tcpack Номер подтверждения TCP в пакете. 2515999782
tcpwin Размер окна TCP в байтах в пакете. 64240
icmptype Число, которое представляет поле Type сообщения ICMP. 8
icmpcode Число, которое представляет поле Code сообщения ICMP. 0
info Запись данных, которая зависит от типа случившегося действия. Например, действие INFO-EVENTS-LOST приведет к появлению записи с числом событий, произошедших, но не записанных в журнал с момента последнего наступления данного типа события. 23



Содержание раздела