Монитор на пакети (PktMon.exe) - Как да се използва в Windows 10

PktMon.exe ( Packet Monitor) е нов мрежов анализатор или мрежов инструмент за диагностика и мониторинг на пакети. Като анализират и прослушват мрежата, администраторите могат да идентифицират уязвимости в приложенията или латентност в самата мрежа. Много полезен инструмент за администраторите, тъй като по-рано в Windows 10 трябваше да слушате и анализирате мрежата с помощта на инструменти на трети страни, които от своя страна могат да бъдат платени. Нека да разгледаме как да използваме инструмента Packet Monitor.

Какво може да направи PktMon?

  • filter - Управление на пакетен филтър.
  • comp - Управление на регистрирани компоненти.
  • reset - Нулирайте броячите на нула.
  • start - Стартирайте пакетите за наблюдение.
  • stop - Спрете наблюдението.
  • format - Конвертиране на регистрационния файл в текст.
  • unload - Разтоварване на драйвера PktMon.

Пълна помощ при въвеждане на командата за помощ на pktmon .

помощ за филтриране на pktmon

Как да използваме PktMon за наблюдение на мрежовия трафик

Нека разгледаме следния пример: 1) създаване на филтър за мониторинг на портове, 2) стартиране на мониторинг, 3) експортиране на данни в дневника.

Стъпка 1 . Командата pktmon filter add help ще ни покаже помощ, в която откриваме, че можем да наблюдаваме Ethernet, IP, TCP и Encapsulation пакети.

pktmon добавяне на помощ за филтър

Стъпка 2 . След като прочетем помощта, нека приемем, че ще наблюдаваме TCP порта: 49975. В моя пример това е портът на програмата YandexDisk. Създайте филтър за пакети с командата pktmon filter add -p [port], където -pе заглавката TCP / UDP.

  • pktmon filter add -p 49975добавяне на филтър -.
  • pktmon filter list - ако е необходимо, прегледайте списъка с добавени портове / филтри.
  • pktmon filter remove премахнете всички филтри -.

pktmon добави филтър и контролен списък

Стъпка 3 . Нека започнем пакети за наблюдение, които ще създадат регистрационен файл на посоченото място. Ще трябва ръчно да спрете да използвате „стоп“, за да спрете регистрирането, или то ще приключи самостоятелно след рестартиране на системата.

  • pktmon start --etw -p 0

pktmon стартиране на мониторинг

Стъпка 4 . Регистрационният файл се записва във файла PktMon.ETL, който може да бъде преобразуван в четим формат с помощта на следната команда.

  • pktmon format PktMon.etl -o port-monitor-49975.txt
  • Регистрационният файл ще бъде по пътя C: \ Windows \ System32, можете да го видите в празна бележка.
  • За по-добро разбиране препоръчвам да използвате помощната програма Microsoft Network Monitor.

Експортиране на дневник в четим формат

Важна забележка : Microsoft ще започне да пуска поддръжка за наблюдение в реално време в Windows 10, версия 2004 .