Packet Monitor (PktMon.exe) - Comment utiliser sous Windows 10

PktMon.exe ( Packet Monitor) est un nouvel analyseur de réseau ou un outil de diagnostic réseau et de surveillance des paquets. En analysant et en écoutant le réseau, les administrateurs peuvent identifier les vulnérabilités des applications ou la latence du réseau lui-même. Un outil très utile pour les administrateurs, car auparavant dans Windows 10, vous deviez écouter et analyser le réseau à l'aide d'outils tiers, qui à leur tour pouvaient être payés. Jetons un coup d'œil à la façon d'utiliser l'outil Packet Monitor.

Que peut faire PktMon?

  • filter - Gérez les filtres de paquets.
  • comp - Gestion des composants enregistrés.
  • reset - Remettez les compteurs à zéro.
  • start - Démarrez les packages de surveillance.
  • stop - Arrêtez la surveillance.
  • format - Convertissez le fichier journal en texte.
  • unload - Déchargez le pilote PktMon.

Aide complète lors de la saisie de la commande pktmon help .

Aide du filtre pktmon

Comment utiliser PktMon pour surveiller le trafic réseau

Prenons l'exemple suivant: 1) créer un filtre pour la surveillance des ports, 2) démarrer la surveillance, 3) exporter les données vers le journal.

Étape 1 . La commande pktmon filter add help nous montrera une aide dans laquelle nous découvrons que nous pouvons surveiller les paquets Ethernet, IP, TCP et d'encapsulation.

Aide pktmon ajout de filtre

Étape 2 . Après avoir lu l'aide, supposons que nous surveillons le port TCP: 49975. Dans mon exemple, il s'agit du port du programme YandexDisk. Créez un filtre de paquets avec la commande pktmon filter add -p [port], où se -ptrouve l'en-tête TCP / UDP.

  • pktmon filter add -p 49975- ajoutez un filtre.
  • pktmon filter list - si nécessaire, consultez la liste des ports / filtres ajoutés.
  • pktmon filter remove - supprimez tous les filtres.

pktmon ajouter un filtre et une liste de contrôle

Étape 3 . Commençons par surveiller les packages, qui créeront un fichier journal à l'emplacement spécifié. Vous devrez arrêter manuellement d'utiliser «stop» pour arrêter la journalisation, ou cela s'arrêtera de lui-même après un redémarrage du système.

  • pktmon start --etw -p 0

pktmon démarrer la surveillance

Étape 4 . Le fichier journal est enregistré dans le fichier PktMon.ETL, qui peut être converti en un format lisible à l'aide de la commande suivante.

  • pktmon format PktMon.etl -o port-monitor-49975.txt
  • Le fichier journal sera sur le chemin C: \ Windows \ System32, vous pouvez l'afficher dans une note vide
  • Pour une meilleure compréhension, je vous conseille d'utiliser l'utilitaire Microsoft Network Monitor.

Exporter le journal au format lisible

Remarque importante : Microsoft commencera à déployer la prise en charge de la surveillance en temps réel dans Windows 10, version 2004 .