8
Defender Firewall logging klappt nicht
Hi,
haben da sein GPO erstellt, dass folgende Logging Einstellung macht:
Nur ist es so, dass auf keinem der Clients dieses Log vorhanden ist. Wir müssten da was debuggen, aber ohne Log schwierig.
Hat jemand eine Idee, warum das Log nicht angelegt wird?
haben da sein GPO erstellt, dass folgende Logging Einstellung macht:
Nur ist es so, dass auf keinem der Clients dieses Log vorhanden ist. Wir müssten da was debuggen, aber ohne Log schwierig.
Hat jemand eine Idee, warum das Log nicht angelegt wird?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 1843517022
Url: https://administrator.de/contentid/1843517022
Printed on: August 31, 2024 at 22:08 o'clock
8 Comments
Latest comment
gpresult liefert positiv zurück?
der testrechner läuft ohne probleme? (sfc scan, ntp, dns)
schon mal ein anderes Verzeichnis probiert?
Was sagt gpedit.msc am Client?
Was sagt das Ereignisprotokoll unter %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx ?
findest du in regedit den Pfad irgendwo?
probier doch mal C:\log\fwlog.bla und spiel mit den berechtigungen..
der testrechner läuft ohne probleme? (sfc scan, ntp, dns)
schon mal ein anderes Verzeichnis probiert?
Was sagt gpedit.msc am Client?
Was sagt das Ereignisprotokoll unter %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx ?
findest du in regedit den Pfad irgendwo?
probier doch mal C:\log\fwlog.bla und spiel mit den berechtigungen..
Moin,
und die wirkt auch auf Computer?
Liebe Grüße
Erik
und die wirkt auch auf Computer?
Liebe Grüße
Erik
@user217
Zum testen habe ich den Pfad in der GPO auf c:\temp\firewall\defenderfirwall.log gesetzt. Die Datei und Pfad auch vorab angelegt und Rechte sehr freizügig auf "jeder" gesetzt. Es wird nichts reingeschrieben. Die GPO wird auch auf den Computer angewendet. Konnte ich mit gpresult überprüfen.
In den Firewall Logs "%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx" selbst sind keine Fehler dokumentiert.
Mir ist das echt ein Rätsel.
Zum testen habe ich den Pfad in der GPO auf c:\temp\firewall\defenderfirwall.log gesetzt. Die Datei und Pfad auch vorab angelegt und Rechte sehr freizügig auf "jeder" gesetzt. Es wird nichts reingeschrieben. Die GPO wird auch auf den Computer angewendet. Konnte ich mit gpresult überprüfen.
In den Firewall Logs "%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx" selbst sind keine Fehler dokumentiert.
Mir ist das echt ein Rätsel.
@katja56
das ist wirklich seltsam, schalte ich die gpo aktiv und gehe am client per gpedit.msc in die lokalen Sicherheitseinstellungen steht die auf unkonfiguriert!!!
Gehe ich am gleichen client in die Einstellungen der Firewall selbst, sind alle Werte aus der gpo da und können nicht verändert werden also wie es sein soll..
Das Logilfe wird wie du beschrieben hast auch bei mir nicht angelegt.
Hier steht dazu so eine pseudoantwort:
https://answers.microsoft.com/en-us/windows/forum/all/system32logfilesfi ...
Vielleicht benutzen wir die gleiche veraltete admx Vorlage für die gpo!?
PS: ich kann am client auch keinen Hinweis im Protkoll darauf finden
Wenn ich am Client die Protokollierung nochmal einschalte funktioniert es:
powershell: Set-NetFirewallProfile -Profile Domain -LogBlocked True
das ist wirklich seltsam, schalte ich die gpo aktiv und gehe am client per gpedit.msc in die lokalen Sicherheitseinstellungen steht die auf unkonfiguriert!!!
Gehe ich am gleichen client in die Einstellungen der Firewall selbst, sind alle Werte aus der gpo da und können nicht verändert werden also wie es sein soll..
Das Logilfe wird wie du beschrieben hast auch bei mir nicht angelegt.
Hier steht dazu so eine pseudoantwort:
https://answers.microsoft.com/en-us/windows/forum/all/system32logfilesfi ...
Vielleicht benutzen wir die gleiche veraltete admx Vorlage für die gpo!?
PS: ich kann am client auch keinen Hinweis im Protkoll darauf finden
Wenn ich am Client die Protokollierung nochmal einschalte funktioniert es:
powershell: Set-NetFirewallProfile -Profile Domain -LogBlocked True
Moin,
In der die Lösung Eures Problems steht.
Works as designed. Wie schon in dem Artikel, den Du als Pseudoantwort bezeichnest, steht:
Habt Ihr diese Optionen in den GPOs gesetzt?
Liebe Grüße
Erik
Zitat von @user217:
Das Logilfe wird wie du beschrieben hast auch bei mir nicht angelegt.
Hier steht dazu so eine pseudoantwort:
https://answers.microsoft.com/en-us/windows/forum/all/system32logfilesfi ...
Das Logilfe wird wie du beschrieben hast auch bei mir nicht angelegt.
Hier steht dazu so eine pseudoantwort:
https://answers.microsoft.com/en-us/windows/forum/all/system32logfilesfi ...
In der die Lösung Eures Problems steht.
Wenn ich am Client die Protokollierung nochmal einschalte funktioniert es:
powershell: Set-NetFirewallProfile -Profile Domain -LogBlocked True
powershell: Set-NetFirewallProfile -Profile Domain -LogBlocked True
Works as designed. Wie schon in dem Artikel, den Du als Pseudoantwort bezeichnest, steht:
In addition, please take note that no logging occurs until you set one of following two options:
To create a log entry when Windows Defender Firewall drops an incoming network packet, change Log dropped packets to Yes.
To create a log entry when Windows Defender Firewall allows an inbound connection, change Log successful connections to Yes
To create a log entry when Windows Defender Firewall drops an incoming network packet, change Log dropped packets to Yes.
To create a log entry when Windows Defender Firewall allows an inbound connection, change Log successful connections to Yes
Habt Ihr diese Optionen in den GPOs gesetzt?
Liebe Grüße
Erik
Die GPO kommt richtig an, wie der Screenshot zeigt:
@erik
falsch, er schreibt wenn man es manuell konfigurieren will.. was hier nicht zur debatte stand...
Wenn ich eine gpo setze die ein Protokoll schreibt, gehe ich zumindest schon auch wie katja davon aus das dies auch angelegt wird.
Dann erklär der Katja doch bitte mal gleich noch wie sie das per gpo aktivieren kann ohne am client per powershell..
falsch, er schreibt wenn man es manuell konfigurieren will.. was hier nicht zur debatte stand...
Wenn ich eine gpo setze die ein Protokoll schreibt, gehe ich zumindest schon auch wie katja davon aus das dies auch angelegt wird.
Dann erklär der Katja doch bitte mal gleich noch wie sie das per gpo aktivieren kann ohne am client per powershell..
Habt Ihr diese Optionen in den GPOs gesetzt?
logo, wie schon oben geschrieben.
