Bonjour,
 
sous 2008 R2, on peut visiblement activer la journalisation des connexions qui correspondent à des règles existantes (allow ou deny).
Mais comment obtenir le log des connexions qui ne correspondent pas à des règles et sont donc rejetées ?

Tu regardes les paquets rejeté  "DROP"
 
Powershell  
 
$log = "C:\Windows\system32\LogFiles\Firewall\pfirewall.log"
$logcontenu = Get-Content $log
$logcontenu | select-string "drop"

Merci.
Mais tu as toi dans les "DROP" les connexions rejetées qui ne correspondent pas à un règle !??
 
Perso je n'ai que les connexions rejetées qui correspondent à un règle qui bloque ou qui est désactivée.

utilises cette commande :
netsh firewall set logging droppedpackets = enable
ou
tu actives les paquets ignorés dans la config avancée

Mais c'est ce que j'ai fait of course d'activer la journalisation des paquets ignorés.
C'est bien pour ça que j'ai des entrées de paquets rejetés qui correspondent à des règles existantes ou désactivées mais rien sur des connexions bloquées parce que c'est le comportement par défaut du firewall si une règle d'autorisation n'est pas active.

Il faut activer l'audit d’accès à l'objet suivant.  
Tu trouveras  dans la GPO computer , paramètre de sécurité , configuration des audits avancée , stratégie d'audit, Accès à l'objet , auditer les paquets rejeté par la plateforme de filtrage .
A noter que les évènement se trouveront dans le journal d’évènement .
 
 
Connexion de la plateforme de filtrage Windows
 
Rejet de paquet par la plateforme de filtrage Windows
 
Ce paramètre de stratégie vous permet d’auditer les paquets rejetés par la plateforme de filtrage Windows (WFP).
 
Volume : Élevé.
 
5152
The Windows Filtering Platform blocked a packet.
5153
A more restrictive Windows Filtering Platform filter has blocked a packet.