はじめに
ネットワークやWindowsに関する検証をしていると、Windows OSのファイアーウォールが原因で想定外の動作になることがよくあります。
検証のときは、OSのファイアーウォールを無効化することがよくあります。
しかし、ファイアウォールを無効化することは、セキュリティのリスクを高めることになります。
今回はWindowsファイアウォールのログを確認する方法をスクリーンショット付きで紹介したいと思います。
必ずではありませんが、ログを確認することで必要な通信のみを許可しやすくなります。
「検証はしたいけど、ファイアウォールを無効化するのはちょっと。。。」とお悩みのかたへ
今回の内容が参考になればうれしいです。
Windowsファイアーウォールの基礎的な知識を知りたい方は、以下記事を参考に頂けると本内容がより深く理解できると思います。
検証環境
検証環境は以下の通りです。
▼使用するハイパーバイザー
ネットワークアダプターは「Natネットワーク」を選択しています。
▼ゲストOS
「Virtual Boxは知っているけど使ってみたい」方は以下を参考にしてください。
Virtual Boxをインストール後、Windows Serverを構築する手順は以下記事で解説してます。
Virtual Boxとセットで使うと便利なツールのインストール方法をご紹介しています。
検証内容
検証内容はいたってシンプルです。
Winodowsファイアウォールのログ機能を有効化にして、以下2つの通信を検証します。
設定手順
ではさっそくいましょう。
- step1「ファイル名を指定して実行」を開き、名前欄に「firewall.cpl」を入力する
入力したら、「OK」をクリック
「ファイル名を指定して実行」はコマンドを入力するだけで特定のプログラムを開けるWindowsの便利な機能です。
詳しく知りたい方は以下記事を参考までに
- step2「詳細設定」をクリック
- step3「Windows Defender ファイアーウォールのプロパティ」をクリック
- step4「プライベート プロファイル」をクリック
「カスタマイズ」をクリック
- step5以下の画面が表示されていることを確認する
デフォルトの設定では、ログは以下のフォルダーパスになります。
ログファイルのパス%systemroot%\system32\LogFiles\Firewall\pfirewall.log - step6チェックマークの設定を「はい」に設定する
設定が完了したら、「OK」をクリック
- step7「OK」をクリックする
- step8「監視」タブをクリックし、設定した内容が反映されていることを確認する
▼拡大したスクリーンショット
ここまで設定できれば、準備完了です!
ログの確認
通信の検証を行っていきましょう。
ログファイルを開く際は、ファイル名の右横にあるリンクから簡単に開けます。
ログの見方
ログを確認する上で個人的に重要だと思う項目を表にまとめてみました。
| Fields | 説明 | 例 |
|---|---|---|
| date | 通信が行われた日付 | 2025-10-23 |
| time | 通信が行われた時間 | 23:43:41 |
| action | 通信が許可されたか拒否されたか | ALLOW or DROP |
| protocol | 対象のプロトコル | UDP or TCP |
| src-ip | 送信元IPアドレス | 10.0.2.18 |
| dst-ip | 宛先IPアドレス | 10.0.2.255 |
| src-port | 送信元ポート番号 | 138 |
| dst-port | 宛先ポート番号 | 138 |
| path | 「送信・受信」に関する情報 | SEND |
| pid | プロセスID | 3232 |
PIDについて少しだけ補足しておきます。
windowsでは、OS上で動いているファイルやプログラムを識別するため「プロセスID」という一意なIDを付与して識別、管理しています。
ICMP(ping)
通信を発生させる方向は以下の通りとします。
コマンドプロンプトでpingを実行した結果の画面は以下の通りです。
Windowsサーバー側で通信の許可はしてません。
そのため、Windows 11側のpingはすべて「要求がタイムアウトしました」と失敗しています。
Windows firewallではデフォルトではICMPの受信が許可されていません。
では、実際にログファイルを確認してきましょう。
Windows 11側のログファイルは以下の通りです。赤枠がpingの通信結果になります。
上記の赤枠部分から分かる情報はこちらになります。
Windowsサーバーのログも確認してきましょう。
先ほどと同様に赤枠がpingの通信結果になります。
上記の赤枠部分から分かる情報はこちらになります。
- ICMPの送信については許可されていない(DROP)
- Windows11 pro(10.0.2.18)からのICMPは5秒間隔で4回すべて受信している(RECEIVE)
個人的に両方のICMPの通信がDROPしているのではなく、片方だけが成功している点が面白い点だと思います。
ICMPが成功しているパターンのログも確認していきたいと思います。
今回は、Windows server 2022のICMPの受信を許可していきます。
- step1ファイル名を指定して実行を開き、名前欄に「firewall.cpl」を入力する
入力したら、「OK」をクリック
- step2接続されているプロファイルを確認する
- step3「詳細設定」をクリック
- step4「受信の規則」をクリック
- step5下へスクロールし、「コア ネットワーク診断 – ICMP エコー要求 (ICMPv4 受信)」をダブルクリックする
接続されているプロファイルの規則を有効化しましょう
下記画像では、3列目が「プロファイル」の列になります。
▼拡大図
- step6「有効」をクリック
最後に「OK」をクリック
- step7有効になっていることを確認します
※有効な規則には1番左に緑色のチェックマークがつきます
ここまで設定できたら、もう一度pingの疎通確認を行ってきましょう。
今度は、Windows server 2022へのpingが成功していますね!
Windows 11 proは何も設定は変更しておりませんので、先ほどのログと同様にALLOWされています。
Windos server 2022側のログを確認していると今度は、ICMPの受信がALLOWされていることが確認できます!
RDP(リモートデスクトップ)
リモートデスクトップも参考にご紹介していきたいと思います。
こちらは許可されたバージョンのみのご紹介とさせてください。
※ちょっと書くのが面倒になってきた。。
以下の流れで検証していきます!
- windws server 2022のリモートデスクトップを有効化
- windows 11 pro → windows server 2022のリモートデスクトップ接続
- step1デスクトップ下のタスクバーにあるwindowsアイコンをクリック
- step2Windowsの設定から検索バーで「リモート」と入力
「リモート デスクトップの設定」をクリック
- step3「リモート デスクトップを有効にする」をオンにする
- step4「確認」をクリック
- step5「リモートデスクトップを有効にする」がオンになっていることを確認する
もし上記手順で「リモートデスクトップが接続できない」など接続トラブルがあった方は、以下記事を参考にしてみてください。
では、リモート接続を行っていきたいと思います。
Windows 11 pro側の操作になります。
- step1リモートデスクトップ接続を開き、接続先PCのIPアドレスを入力
「接続」をクリック
- step2接続先PCのパスワードを入力
- step3そのまま「はい」をクリック
- step4リモートデスクトップ接続ができたことを確認する
ちなみにリモートデスクトップの接続方法がわからない方は、以下記事を参考にしてください。
ではリモートデスクトップ接続が成功した状態でログファイルを確認していきましょう。
リモートデスクトップのポート番号は3389番になります。
Windows 11 pro側のファイルを確認してみると、10.0.2.100へ3389番ポートでリモートデスクトップ接続がALLOWされていることが確認できます。
一方で、Windows server 2022側も確認していきましょう。
3389番ポートでリモートデスクトップ接続をRECEIVEしていることが確認できました。
まとめ
余談:FTPなどでも試したら面白いかも
本検証を行っている中で、ICMPやRDP以外にもFTPなどの別な通信のログを見てみるのも面白いかもと思いました。
今回の検証では、FTPなど2つのポートを使ってサービスを提供するような通信の検証までは行いませんでしたが、このような通信の検証も行うことでよりファイアーウォールへの理解が深まるかもしれません。
もしより深く試してみたいと思った方は以下記事を参考にしてみてください。
windows OSでFTP通信を行う手順を解説している記事になります。
コメント