Как использовать новый инструмент Network Sniffer PktMon.exe в Windows 10
Windows 10 предлагает встроенный инструмент сетевого анализатора PktMon.exe для мониторинга внутреннего распространения пакетов и отчетов. Этот инструмент может помочь вам отслеживать сеть и поможет вам устранить причину задержки в сети, выявить уязвимые приложения. При использовании с дополнительным набором инструментов, может предоставить советы по лучшению этих показателей.
Network sniffer в Windows 10
PktMon.exe или Packet Monitor — это новый сетевой анализатор или средство диагностики сети и мониторинга пакетов. Он находится в системной папке и можно вызвать его из командной строки или из PowerShell.
Что может PktMon?
Если вы запустите PktMon.exe Help в командной строке. То увидите список команд:
- filter: Управление фильтрами пакетов.
- comp: Управление зарегистрированными компонентами.
- reset: Сброс счетчиков до нуля.
- start: Запуск мониторинг пакетов.
- stop: Остановка мониторинга.
- format: Преобразование файла журнала в текст.
- unload: Выгрузка драйвера PktMon.
Если вам нужна дополнительная помощь по конкретной команде, вы можете запустить справку:
pktmon filter help
pktmon filter { list | add | remove } [OPTIONS | help]
Commands
list Display active packet filters.
add Add a filter to control which packets are reported.
remove Removes all filters.
Как использовать PktMon для мониторинга сетевого трафика
- Создать фильтр для мониторинга порта
- Начать мониторинг
- Экспорт журнала в читаемый формат
- В этом примере предполагается, что вы хотите отслеживать номер порта на компьютере.
Создайте filter PktMon
Основная опция, которая позволяет вам отслеживать трафик — это «filter». Используя эту опцию, вы можете создать фильтр, чтобы контролировать, какие пакеты сообщаются на основе кадра Ethernet, заголовка IP, заголовка TCP и инкапсуляции.
Если вы запустите нижеупомянутую команду, вы получите полную информацию о том, что вы можете сделать.
pktmon filter add help
Итак, возвращаясь к нашей теме, давайте предположим, что мы собираемся контролировать порт TCP 1088. Это может быть порт, используемый вашим пользовательским приложением, который дает сбой, и PktMon может помочь вам выяснить в чем проблема.
Откройте командную строку или PowerShell с правами администратора
Создайте фильтр пакетов с помощью команды: pktmon filter add -p [port]
pktmon filter add -p 1088
Затем вы можете запустить команду «pktmon filter list», чтобы увидеть список добавленных фильтров.
Чтобы удалить все фильтры, выполните команду «pktmon filter remove»
Начать мониторинг PktMon
Поскольку это не автоматическая программа, работающая в фоновом режиме, а работающая по требованию, вам нужно запустить мониторинг вручную. Запустите следующую команду, чтобы начать мониторинг пакетов
pktmon start --etw - p 0
Он запустит мониторинг и создаст файл журнала в указанном месте. Вам придется ввести команду «stop», чтобы остановить запись в журнал. Если вы запустите команду с «-p 0», то она будет захватывать только 128 байтов пакета.
Log filename: C:\Windows\system32\PktMon.etl
Logging mode: Circular
Maximum file size: 512 MB
Экспорт журнала PktMon в читаемый формат
Журнал сохраняется в файле PktMon.ETL, который можно преобразовать в удобочитаемый формат с помощью следующей команды:
pktmon format PktMon.etl -o port-monitor-1088.txt
[stextbox id=»profi»] Пока вы открываете файл в блокноте и читаете его, можете скачать Microsoft Network Monitor он может напрямую открывать файл ETL. [/stextbox]
Ожидается, что Microsoft начнет развертывать поддержку мониторинга в реальном времени, что ожидалось в Windows 10 2004.