Назад | Перейти на главную страницу

Журнал сетевого трафика Windows 2008 R2

Вы можете мне посоветовать регистратор сетевого трафика для Windows 2008 R2? Ожидается, что он будет выполняться как служба и собирать простые данные «исходный IP / порт, целевой IP / порт, размер пакетов». Я попытался использовать трассировку ETW с провайдером Winsock AFD, но он производит огромные объемы данных, отбрасывает множество пакетов, а полученные файлы журналов ETL трудно анализировать.

Лучший продукт, о котором я знаю, - это Microsoft Network Monitor. Это бесплатно загружается и имеет широкие возможности расширения / поддержки Microsoft. Я использовал большинство других, но я всегда возвращаюсь к этому, когда мне нужно что-то сделать.

В Codeplex есть также дополнительные парсеры, но встроенные средства довольно надежны.

Сайт блога Network Monitor

Ссылки для скачивания

Wireshark можно запустить из командной строки. Затем вы просто создаете запланированное задание, которое запустит его при загрузке.

Аргументы командной строки для wirehark: http://www.wireshark.org/docs/wsug_html_chunked/ChCustCommandLine.html

В противном случае вы также можете выполнить зеркалирование порта с коммутатора на другой порт для сбора данных.

В зависимости от того, как выполняется сетевой трафик, вы можете использовать монитор процесса из Sysinternals. Он может регистрировать активность с момента загрузки напрямую (опция в инструментах). Сетевой трафик регистрируется при использовании windows api. Обязательно "отбросьте отфильтрованную запись" и регистрируйте только сеть.

Когда вы снова запустите инструмент, он обнаружит его и попросит извлечь зарегистрированные записи.

Вы смотрели netmon? ETW предоставит много данных, но не отбрасывает пакеты.