Packet Monitor (PktMon.exe) - Як використовувати в Windows 10

PktMon.exe ( Packet Monitor) - новий мережевий аналізатор або засіб діагностики мережі та моніторингу пакетів. За допомогою аналізу і прослуховування мережі, адміністратори можуть виявити вразливість в додатках або затримку в самій мережі. Дуже корисний інструмент для адміністраторів, так як раніше в Windows 10 доводилося прослуховувати і аналізувати мережу за допомогою сторонніх інструментів, які в свою чергу могли бути платними. Давайте розберемо, як користуватися інструментом Packet Monitor.

Що може робити PktMon?

  • filter - Управління фільтрами пакетів.
  • comp - Управління зареєстрованими компонентами.
  • reset - Скидання лічильників до нуля.
  • start - Почати моніторинг пакетів.
  • stop - Зупинити моніторинг.
  • format - Перетворити файл журналу в текст.
  • unload - вивантажити драйвер PktMon.

Повна довідка при введенні команди pktmon help .

pktmon filter help

Як використовувати PktMon для моніторингу мережевого трафіку

Розберемо такий приклад: 1) створити фільтр для моніторингу порту, 2) почати моніторинг, 3) експорт даних в журнал.

Крок 1 . Команда pktmon filter add help покаже нам довідку в якій ми виявимо, що можемо контролювати пакети Ethernet, IP, TCP і інкапсуляція.

pktmon додавання фільтра допомогу

Крок 2 . Після ознайомлення довідки, припустимо, що ми будемо відстежувати TCP-порт: 49975. На моєму прикладі це порт програми яндекс.диск. Створюємо фільтр пакетів командою pktmon filter add -p [port], де -pце заголовок TCP / UDP.

  • pktmon filter add -p 49975- додаємо фільтр.
  • pktmon filter list - якщо потрібно, то подивитися список доданих портів / фільтрів.
  • pktmon filter remove - видалити всі фільтри.

pktmon додавання фільтру і перевірка списку

Крок 3 . Почнемо моніторинг пакетів, який створить файл журналу в зазначеному місці. Вам доведеться вручну припинити використовувати "stop", щоб зупинити запис в журнал, або він закінчиться сам, після перезавантаження системи.

  • pktmon start --etw -p 0

pktmon почати моніторинг

Крок 4 . Файл журналу зберігається в файлі PktMon.ETL, який можна перетворити в читаний формат за допомогою наступної команди.

  • pktmon format PktMon.etl -o port-monitor-49975.txt
  • Файл журналу буде по шляху C: \ Windows \ System32, ви його можете переглядати в блакноте.
  • Щоб краще зрозуміти, раджу скористатися утилітою Microsoft Network Monitor.

Експорт журналу в читаний формат

Важливе зауваження : Microsoft почне розгортати підтримку моніторингу в реальному часі в Windows 10 версії 2004 .