Firewall de Windows: registro / notificación de intentos de solicitud salientes

Estoy tratando de configurar el firewall de Windows con seguridad avanzada para iniciar sesión y decirme cuándo los programas intentan realizar solicitudes salientes. Anteriormente intenté instalar ZoneAlarm, que funcionó de maravilla para mí con esto en Windows XP. Pero ahora, no puedo instalar ZoneAlarm en Windows 7.

¿Es posible monitorear de alguna manera un registro u obtener notificaciones cuando un programa intenta hacer eso si configuro todas las conexiones salientes para autobloquear, de modo que pueda crear una regla específica para el programa y bloquearla?

Actualización
He habilitado todas las opciones de registro disponibles a través de las ventanas de propiedades del Firewall de Windows con la Consola de seguridad avanzada. Pero solo veo registros en el %systemroot%\system32\LogFiles\Firewall\pfirewall.logarchivo, no en el Visor de eventos, como sugiere la primera respuesta.

Sin embargo, los registros que puedo ver solo me dicen las solicitudes o la IP de destino de la respuesta y si la conexión fue permitida o bloqueada. Pero no me dice de qué ejecutable proviene. Quiero averiguar la ruta del archivo ejecutable del que proviene cada solicitud bloqueada. Hasta ahora, no he podido.

Debería poder ver esto en el Visor de eventos . Primero, deberá ajustar las opciones de registro en la Consola de configuración avanzada :

En el panel izquierdo del Visor de eventos, expanda a Registro de aplicaciones y servicios -> Microsoft -> Windows -> Firewall de Windows con seguridad avanzada :

Allí, puede crear una vista personalizada y filtrar el registro solo para los intentos de conexión salientes.

En Windows 7 y 8, primero debe habilitar la Auditoría de conexiones fallidas.

Política del equipo local (Ejecutar: GPEdit.msc)> Configuración del equipo> Configuración de Windows> Configuración de seguridad> Políticas locales> Política de auditoría> Acceso al objeto de auditoría: error

Ahora las conexiones interrumpidas junto con el nombre ejecutable correspondiente deberían aparecer en:

Registro de eventos> Registros de Windows> Seguridad:

1. La plataforma de filtrado de Windows ha bloqueado un paquete: [Id. De evento: 5152]
2. La plataforma de filtrado de Windows ha bloqueado una conexión: [Id. De evento: 5157]

Aquí encontrarás:

Nombre de la aplicación: \ device \ harddiskvolume2 \ program files \ xyz.exe

Estaba buscando el mismo problema, y ​​ni el Visor de eventos (sin eventos) ni la opción pfirewall.log (sin nombre del programa infractor) me ayudaron a identificar lo que está sucediendo.

Mirando a mi alrededor, aprecio el Notificador de Firewall de Windows , que incluso proporciona una GUI que muestra el programa ofensivo y permite generar reglas de excepción (es necesario que todas las WFN creen reglas, no excepciones al llamarlo por primera vez).

Prueba la utilidad Sysmon de SysInternals. Es simplemente un instalador y hace un registro bastante bueno. Los registros le proporcionarán todos los detalles, incluido el programa, la ruta del archivo, etc., que está iniciando la conexión. Espero eso ayude.