Воскресенье, 19 ноября, 2023
Последние:
Windows

Packet Monitor (PktMon.exe) — Как использовать в Windows 10

Admin Комментариев нет

PktMon.exe (Packet Monitor) — новый сетевой анализатор или средство диагностики сети и мониторинга пакетов. При помощи анализа и прослушивания сети, администраторы могут выявить уязвимость в приложениях или задержку в самой сети. Очень полезный инструмент для администраторов, так как раньше в Windows 10 приходилось прослушивать и анализировать сеть при помощи сторонних инструментов, которые в свою очередь могли быть платными. Давайте разберем, как пользоваться инструментом Packet Monitor.

Что может делать PktMon?

  • filter — Управление фильтрами пакетов.
  • comp — Управление зарегистрированными компонентами.
  • reset — Сброс счетчиков до нуля.
  • start — Начать мониторинг пакетов.
  • stop — Остановить мониторинг.
  • format — Преобразовать файл журнала в текст.
  • unload — Выгрузить драйвер PktMon.

Полная справка при вводе команды pktmon help.

pktmon filter help

Как использовать PktMon для мониторинга сетевого трафика

Разберем следующий пример: 1) создать фильтр для мониторинга порта, 2) начать мониторинг, 3) экспорт данных в журнал.

Шаг 1. Команда pktmon filter add help покажет нам справку в которой мы обнаружим, что можем контролировать пакеты Ethernet, IP, TCP и Инкапсуляции.

pktmon добавление фильтра помощь

Шаг 2. После ознакомления справки, предположим, что мы будем отслеживать TCP-порт: 49975. На моем примере это порт программы ЯндексДиска. Создаем фильтр пакетов командой pktmon filter add -p [port], где -p это заголовок TCP/UDP.

  • pktmon filter add -p 49975— добавляем фильтр.
  • pktmon filter list — если нужно, то посмотреть список добавленных портов/фильтров.
  • pktmon filter remove — удалить все фильтры.
pktmon добавление фильтра и проверка списка

Шаг 3. Начнем мониторинг пакетов, который создаст файл журнала в указанном месте. Вам придется вручную прекратить использовать «stop», чтобы остановить запись в журнал, или он закончится сам, после перезагрузки системы.

  • pktmon start --etw -p 0
pktmon начать мониторинг

Шаг 4. Файл журнала сохраняется в файле PktMon.ETL, который можно преобразовать в читаемый формат с помощью следующей команды.

  • pktmon format PktMon.etl -o port-monitor-49975.txt
  • Файл журнала будет по пути C:\Windows\System32, вы его можете просматривать в блакноте.
  • Чтобы лучше понять, советую воспользоваться утилитой Microsoft Network Monitor.
Экспорт журнала в читаемый формат

Важное примечание: Microsoft начнет развертывать поддержку мониторинга в реальном времени в Windows 10 версии 2004.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *