Packet Monitor (PktMon.exe) - Как использовать в Windows 10
PktMon.exe (Packet Monitor) - новый сетевой анализатор или средство диагностики сети и мониторинга пакетов. При помощи анализа и прослушивания сети, администраторы могут выявить уязвимость в приложениях или задержку в самой сети. Очень полезный инструмент для администраторов, так как раньше в Windows 10 приходилось прослушивать и анализировать сеть при помощи сторонних инструментов, которые в свою очередь могли быть платными. Давайте разберем, как пользоваться инструментом Packet Monitor.
Что может делать PktMon?
filter
- Управление фильтрами пакетов.comp
- Управление зарегистрированными компонентами.reset
- Сброс счетчиков до нуля.start
- Начать мониторинг пакетов.stop
- Остановить мониторинг.format
- Преобразовать файл журнала в текст.unload
- Выгрузить драйвер PktMon.
Полная справка при вводе команды pktmon help.
Как использовать PktMon для мониторинга сетевого трафика
Разберем следующий пример: 1) создать фильтр для мониторинга порта, 2) начать мониторинг, 3) экспорт данных в журнал.
Шаг 1. Команда pktmon filter add help покажет нам справку в которой мы обнаружим, что можем контролировать пакеты Ethernet, IP, TCP и Инкапсуляции.
Шаг 2. После ознакомления справки, предположим, что мы будем отслеживать TCP-порт: 49975. На моем примере это порт программы ЯндексДиска. Создаем фильтр пакетов командой pktmon filter add -p [port]
, где -p
это заголовок TCP/UDP.
pktmon filter add -p 49975
- добавляем фильтр.pktmon filter list
- если нужно, то посмотреть список добавленных портов/фильтров.pktmon filter remove
- удалить все фильтры.
Шаг 3. Начнем мониторинг пакетов, который создаст файл журнала в указанном месте. Вам придется вручную прекратить использовать "stop", чтобы остановить запись в журнал, или он закончится сам, после перезагрузки системы.
pktmon start --etw -p 0
Шаг 4. Файл журнала сохраняется в файле PktMon.ETL, который можно преобразовать в читаемый формат с помощью следующей команды.
pktmon format PktMon.etl -o port-monitor-49975.txt
- Файл журнала будет по пути C:\Windows\System32, вы его можете просматривать в блакноте.
- Чтобы лучше понять, советую воспользоваться утилитой Microsoft Network Monitor.
Важное примечание: Microsoft начнет развертывать поддержку мониторинга в реальном времени в Windows 10 версии 2004.