Pare-feu Windows: journalisation / notification des tentatives de demande sortantes

J'essaie de configurer le pare-feu Windows avec sécurité avancée pour se connecter et me dire quand les programmes essaient de faire des demandes sortantes. J'ai déjà essayé d'installer ZoneAlarm, ce qui a fait des merveilles pour moi dans Windows XP. Mais maintenant, je ne peux pas installer ZoneAlarm sur Windows 7.

Est-il possible de surveiller un journal ou d'obtenir des notifications lorsqu'un programme essaie de le faire si je définis toutes les connexions sortantes sur blocage automatique, afin de pouvoir ensuite créer une règle spécifique pour le programme et la bloquer?

Mise à jour
J'ai activé toutes les options de journalisation disponibles via les fenêtres de propriétés du pare-feu Windows avec Advanced Security Console. Mais je ne vois que les journaux dans le %systemroot%\system32\LogFiles\Firewall\pfirewall.logfichier, pas dans l'Observateur d'événements, comme la première réponse l'a suggéré.

Cependant, les journaux que je peux voir ne me disent que l'adresse IP de destination de la demande ou de la réponse et si la connexion a été autorisée ou bloquée. Mais cela ne me dit pas de quel exécutable il provient. Je souhaite connaître le chemin d'accès au fichier de l'exécutable d'où provient chaque demande bloquée. Jusqu'à présent, je n'ai pas pu.

Vous devriez pouvoir voir cela dans l' Observateur d'événements . Vous devez d'abord modifier les options de journalisation dans la console des paramètres avancés :

Dans le volet gauche de l'Observateur d'événements, développez jusqu'à Journal des applications et des services -> Microsoft -> Windows -> Pare-feu Windows avec sécurité avancée :

Là, vous pouvez créer une vue personnalisée et filtrer le journal uniquement pour les tentatives de connexion sortantes.

Sous Windows 7 et 8, vous devez d'abord activer l'audit des connexions ayant échoué.

Stratégie de l'ordinateur local (Exécuter: GPEdit.msc)> Configuration de l'ordinateur> Paramètres Windows> Paramètres de sécurité> Stratégies locales> Stratégie d'audit> Accès aux objets d'audit: échec

Les connexions abandonnées avec le nom de l'exécutable correspondant devraient s'afficher à:

Journal des événements> Journaux Windows> Sécurité:

1. La plate-forme de filtrage Windows a bloqué un paquet: [ID d'événement: 5152]
2. La plate-forme de filtrage Windows a bloqué une connexion: [ID d'événement: 5157]

Ici vous trouverez:

Nom de l'application: \ device \ harddiskvolume2 \ program files \ xyz.exe

Je cherchais le même problème, et ni l'Observateur d'événements (aucun événement) ni l'option pfirewall.log (aucun nom du programme violé) ne m'ont aidé à identifier ce qui se passait.

En regardant autour de moi, j'aime Windows Firewall Notifier , qui fournit même une interface graphique qui montre le programme incriminé et permet de générer des règles d'exception (vous devez utiliser WFN pour créer des règles, pas des exceptions lors de son premier appel).

Essayez l'utilitaire Sysmon de SysInternals. C'est simplement un programme d'installation et fait une très bonne journalisation. Les journaux vous donneront tous les détails, y compris le programme, le chemin du fichier, etc. qui initie la connexion. J'espère que cela aide.