防火墙如何查看拦截记录？

防火墙拦截记录需通过系统日志、安全中心或专用管理界面分层调取。Windows平台默认不自动记录拦截行为，须手动启用高级安全防火墙的日志功能（保存至%systemroot%\system32\LogFiles\Firewall\pfirewall.log），或在事件查看器中筛选ID为5156（允许/阻止连接决策）和5157（连接建立结果）的安全事件；Linux用户可借助iptables-nft日志模块或Fail2Ban服务日志进行追溯；而云防火墙与终端安全软件如火绒，则将网络防护动作统一归入安全日志体系，支持按时间、资产、流量方向及处置状态多维筛选与导出。不同层级的记录机制，共同构成网络安全可观测性的基础支撑。

一、Windows系统日志配置与高效检索路径

启用pfirewall.log需进入“高级安全Windows防火墙”→“属性”→对应配置文件（域/专用/公用）→“日志设置”中勾选“记录安全连接”，并指定日志路径、最大大小（建议设为4096KB以上）及滚动方式。启用后，可用PowerShell执行Get-Content命令实时监控，或使用wevtutil qe Security /q:"*[System[(EventID=5156) or (EventID=5157)]]"快速提取近24小时拦截决策事件。注意：5156事件含源IP、目标端口、协议类型及规则名称，5157事件则补充连接是否实际建立，二者结合可准确还原攻击链路。

二、Linux平台日志调取的实操要点

iptables-nft用户需在规则链中插入带--log-prefix的LOG目标，例如iptables -A INPUT -s 192.168.1.100 -j LOG --log-prefix "BLOCKED_IN:"；随后通过journalctl -u systemd-journald | grep "BLOCKED_IN" 或直接读取/var/log/messages筛选。Fail2Ban则依赖其自身日志文件（默认/var/log/fail2ban.log），配合fail2ban-client status 可查看当前封禁IP列表及触发次数，再结合grep -a "Ban " /var/log/fail2ban.log追溯历史封禁动作。

三、终端安全软件与云防火墙的日志协同分析

火绒用户须先在“防护中心→网络防护→设置”中开启“启用网络防护详细日志”，否则仅显示基础拦截摘要；开启后，“安全日志”中“网络防护”类目将完整记录协议、进程路径、远程地址及处置结果。云防火墙用户登录控制台后，在“告警中心→攻击拦截统计”页启用“事件视角”模式，可逐条查看单次攻击的原始报文特征、匹配的入侵防御策略编号及威胁情报置信度，支持导出CSV供SIEM平台进一步关联分析。

四、跨平台日志统一管理的关键实践

建议将各端日志集中至本地Syslog服务器或ELK栈，Windows事件ID、Linux iptables前缀、火绒日志时间戳均需标准化为ISO 8601格式；对高频拦截IP，可通过脚本自动聚合其30分钟内攻击次数与端口分布，识别扫描行为；云防火墙7日内拦截数据支持批量导出，但超期记录需依赖第三方备份策略提前归档。

综上，拦截记录并非静态快照，而是动态演进的安全证据链，需结合配置启用、精准筛选与上下文关联，方能支撑有效研判与响应。