Monitor Packet (PktMon.exe) - Cara penggunaan pada Windows 10

PktMon.exe ( Packet Monitor) adalah penganalisis rangkaian baru atau alat diagnostik rangkaian dan pemantauan paket. Dengan menganalisis dan mendengar rangkaian, pentadbir dapat mengenal pasti kerentanan dalam aplikasi atau latensi dalam rangkaian itu sendiri. Alat yang sangat berguna untuk pentadbir, seperti sebelumnya di Windows 10, anda harus mendengar dan menganalisis rangkaian menggunakan alat pihak ketiga, yang pada gilirannya dapat dibayar. Mari kita lihat cara menggunakan alat Packet Monitor.

Apa yang boleh dilakukan oleh PktMon?

  • filter - Urus penapis paket.
  • comp - Pengurusan komponen berdaftar.
  • reset - Tetapkan semula pembilang ke sifar.
  • start - Mulakan pakej pemantauan.
  • stop - Hentikan pemantauan.
  • format - Tukar fail log ke teks.
  • unload - Bongkar pemacu PktMon.

Bantuan lengkap semasa memasukkan arahan bantuan pktmon .

bantuan saringan pktmon

Cara menggunakan PktMon untuk memantau lalu lintas rangkaian

Mari pertimbangkan contoh berikut: 1) buat saringan untuk pemantauan pelabuhan, 2) mulakan pemantauan, 3) eksport data ke log.

Langkah 1 . Perintah penambahan penapis pktmon akan menunjukkan bantuan di mana kita dapati bahawa kita dapat memantau paket Ethernet, IP, TCP dan Encapsulation.

pktmon menambah bantuan penapis

Langkah 2 . Setelah membaca bantuan, mari kita anggap bahawa kita akan memantau port TCP: 49975. Dalam contoh saya, ini adalah port program YandexDisk. Buat penapis paket dengan arahan pktmon filter add -p [port], di mana -ptajuk TCP / UDP.

  • pktmon filter add -p 49975- tambah penapis.
  • pktmon filter list - jika perlu, lihat senarai port / penapis tambahan.
  • pktmon filter remove - keluarkan semua penapis.

pktmon tambah saringan dan senarai semak

Langkah 3 . Mari mulakan pakej pemantauan, yang akan membuat fail log di lokasi yang ditentukan. Anda harus berhenti menggunakan "berhenti" secara manual untuk menghentikan pembalakan, atau ia akan berakhir dengan sendirinya setelah sistem dihidupkan semula.

  • pktmon start --etw -p 0

pktmon memulakan pemantauan

Langkah 4 . Fail log disimpan dalam fail PktMon.ETL, yang dapat diubah menjadi format yang dapat dibaca dengan menggunakan perintah berikut.

  • pktmon format PktMon.etl -o port-monitor-49975.txt
  • Fail log akan berada di jalan C: \ Windows \ System32, anda boleh melihatnya di notepad.
  • Untuk pemahaman yang lebih baik, saya menasihatkan anda untuk menggunakan utiliti Monitor Rangkaian Microsoft.

Eksport log ke format yang boleh dibaca

Nota Penting : Microsoft akan mula memberikan sokongan untuk pemantauan masa nyata pada Windows 10, versi 2004 .