求windows日志详解

安全日志分两部分：

“标题”显示安全日志的版本信息以及数据项可用的字段信息，您可以向其中添加信息。
“正文”是针对通信或试图通过防火墙的尝试收集和记录的所有信息的完整报告。安全日志的正文是动态列表，新的数据项将在日志的底部显示。有关如何设置安全记录的信息，请参阅启用安全记录选项。
下表介绍安全日志中记录的信息：

标题信息
项 说明 范例
#Version: 显示 Windows 防火墙安全日志安装的版本。 1.5
#Software: 显示安全日志的名称。 Microsoft Windows Firewall
#Time: 表示日志中所有时间戳都是本地时间。 Local
#Fields: 显示安全日志项可用的字段的静态列表（如果存在数据的话）。这些字段列在下面的“正文”表中。 src-ip

正文数据
字段 说明 范例
Date 显示已记录事务发生的年、月、日。日期按以下格式记录：
YYYY-MM-DD
其中，YYYY 表示年，MM 表示月，DD 表示日。 2001-01-27
Time 显示已记录的事务发生时的小时、分钟、秒。时间按以下格式记录：
HH:MM:SS
其中，HH 表示 24 小时制的小时，MM 表示分钟，SS 表示秒。 21:36:59
Action 显示被防火墙观察的操作。防火墙的可用选项有 OPEN、CLOSE、DROP 和 INFO-EVENTS-LOST。INFO-EVENTS-LOST 操作表示已发生但是没有记录在日志中的事件数目。 OPEN
Protocol 显示用于通讯的协议。协议项也可以是除 TCP、UDP 或 ICMP 外的数据包的数目。 TCP
src-ip 显示源 IP 地址（尝试建立通讯的计算机的 IP 地址）。 192.168.0.1
dst-ip 显示尝试建立的通讯的目标 IP 地址。 192.168.0.1
src-port 显示发送计算机的源端口号。只有 TCP 和 UDP 才显示有效的 src-port 项，所有其他协议都显