Как использовать сетевой сниффер PktMon.exe в Windows 10

Windows 10 предлагает встроенный инструмент сетевого анализатора — PktMon.exe — для мониторинга внутреннего распространения пакетов и отчетов о сбрасывании пакетов. Этот инструмент может помочь вам выслеживать. Сеть и поможет вам устранить причину задержки в сети, выявить уязвимые приложения и, при использовании с дополнительным набором инструментов, может предоставить представление о лучших показателях. В этом посте мы покажем, как вы можете использовать новый инструмент сетевого анализатора (PktMon.exe) в Windows 10.

Сетевой инструмент Sniffer pktmon.exe в Windows 10

PktMon.exe или Packet Monitor — это новый сетевой анализатор или средство диагностики сети и мониторинга пакетов. Он находится в папке «Системы», что означает, что вы можете вызвать его из командной строки, командной строки или PowerShell.

Если программа напоминает вам о Netsh Trace Command, то вы правы. Команда Netsh Trace помогает включить и настроить трассировку сети, чтобы помочь при устранении проблем с сетевым подключением.

Что может сделать PktMon?

Если вы запустите PktMon.exe Help в командной строке. Вот что вы получаете:

  • filter: управление фильтрами пакетов.
  • comp: Управление зарегистрированными компонентами.
  • reset: Сброс счетчиков до нуля.
  • start: начать мониторинг пакетов.
  • stop: остановить мониторинг.
  • format: преобразовать файл журнала в текст.
  • unload: выгрузить драйвер PktMon.

И если вам нужна дополнительная помощь по конкретной команде, вы можете запустить справку для этой команды. Вот как это выглядит:

pktmon filter help

pktmon filter { list | add | remove } [OPTIONS | help]
Commands
list Display active packet filters.
add Add a filter to control which packets are reported.
remove Removes all filters.

Как использовать PktMon для мониторинга сетевого трафика

Вот пример того, как использовать его на простом примере.

  1. Создать фильтр для мониторинга порта
  2. Начать мониторинг
  3. Экспорт журнала в читаемый формат

В этом примере предполагается, что вы хотите отслеживать номер порта на компьютере, который может часто иметь проблемы.

1. Создайте фильтр

Основная опция, которая позволяет вам отслеживать трафик — это «фильтр». Используя эту опцию, вы можете создать фильтр, чтобы контролировать, какие пакеты сообщаются на основе кадра Ethernet, заголовка IP, заголовка TCP и инкапсуляции. Если вы запустите нижеупомянутую программу, вы получите полную информацию о том, что вы можете сделать с фильтром.

pktmon filter add help

Итак, возвращаясь к нашей теме, давайте предположим, что мы собираемся отслеживать TCP-порт № 1088. Это может быть порт, используемый вашим пользовательским приложением, который дает сбой, и PktMon может помочь вам выяснить, является ли проблема с сетью.

Откройте командную строку или PowerShell с правами администратора

Создайте фильтр пакетов с помощью команды: «pktmon filter add -p [port]»

pktmon filter add -p 1088

Затем вы можете запустить команду «pktmon filter list», чтобы увидеть список добавленных фильтров.


Чтобы удалить все фильтры, выполните команду «pktmon filter remove»

2. Начните мониторинг

Поскольку это не автоматическая программа, работающая в фоновом режиме, а работающая по требованию, вам нужно запустить мониторинг вручную. Запустите следующую команду, чтобы начать мониторинг пакетов

pktmon start --etw - p 0

Он запустит мониторинг и создаст файл журнала в указанном месте. Вам придется вручную прекратить использовать аргумент «stop», чтобы остановить запись в журнал, или он закончится, когда компьютер выключится. Если вы запустите команду с «-p 0», то она будет захватывать только 128 байтов пакета.

Log filename: C:\Windows\system32\PktMon.etl
Logging mode: Circular
Maximum file size: 512 MB

3. Экспорт журнала в читаемый формат

Файл журнала сохраняется в файле PktMon.ETL, который можно преобразовать в удобочитаемый формат с помощью следующей команды

pktmon format PktMon.etl -o port-monitor-1088.txt

Сделав это, пока вы открываете файл в блокноте и читаете его, чтобы иметь смысл, вам придется использовать Microsoft Network Monitor. Он может напрямую читать файл ETL.

Тем не менее, ожидается, что Microsoft начнет развертывать поддержку мониторинга в реальном времени, что ожидалось в Windows 10 2004 — но я пока не вижу такой возможности.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.