Packet Monitor (PktMon.exe) - Sådan bruges det i Windows 10

PktMon.exe ( Packet Monitor) er en ny netværksanalysator eller netværksdiagnosticerings- og pakkeovervågningsværktøj. Ved at analysere og lytte til netværket kan administratorer identificere sårbarheder i applikationer eller ventetid i selve netværket. Et meget nyttigt værktøj til administratorer, som tidligere i Windows 10 var du nødt til at lytte og analysere netværket ved hjælp af tredjepartsværktøjer, som igen kunne betales. Lad os se på, hvordan du bruger værktøjet Packet Monitor.

Hvad kan PktMon gøre?

  • filter - Administrer pakkefiltre.
  • comp - Styring af registrerede komponenter.
  • reset - Nulstil tællere til nul.
  • start - Start overvågning af pakker.
  • stop - Stop overvågningen.
  • format - Konverter logfil til tekst.
  • unload - Fjern PktMon-driveren.

Komplet hjælp, når du indtaster pktmon-hjælpekommandoen .

hjælp til pktmon-filter

Sådan bruges PktMon til at overvåge netværkstrafik

Lad os overveje følgende eksempel: 1) opret et filter til portovervågning, 2) start overvågning, 3) eksporter data til loggen.

Trin 1 . Pktmon filter add hjælp kommandoen viser os en hjælp, hvor vi opdager, at vi kan overvåge Ethernet, IP, TCP og Encapsulation pakker.

pktmon tilføjer filterhjælp

Trin 2 . Efter at have læst hjælp, lad os antage, at vi overvåger TCP-porten: 49975. I mit eksempel er dette porten til YandexDisk-programmet. Opret et pakkefilter med kommandoen pktmon filter add -p [port], hvor -per TCP / UDP-overskriften.

  • pktmon filter add -p 49975- tilføj et filter.
  • pktmon filter list - se om nødvendigt listen over tilføjede porte / filtre.
  • pktmon filter remove - fjern alle filtre.

pktmon tilføj filter og tjekliste

Trin 3 . Lad os begynde at overvåge pakker, som opretter en logfil på det angivne sted. Du bliver nødt til manuelt at stoppe med at bruge "stop" for at stoppe logning, ellers slutter det af sig selv efter en systemgenstart.

  • pktmon start --etw -p 0

pktmon start overvågning

Trin 4 . Logfilen gemmes i PktMon.ETL-filen, som kan konverteres til et læsbart format ved hjælp af følgende kommando.

  • pktmon format PktMon.etl -o port-monitor-49975.txt
  • Logfilen vil være på stien C: \ Windows \ System32, du kan se den i notesblokken.
  • For en bedre forståelse anbefaler jeg dig at bruge værktøjet Microsoft Network Monitor.

Eksporter log til læsbart format

Vigtig note : Microsoft begynder at implementere support til overvågning i realtid i Windows 10, version 2004 .