Как использовать новый Network Sniffer Tool PktMon.exe в Windows 10

Windows 10 предлагает встроенный инструмент Network Sniffer - PktMon.EXE - для отслеживания внутреннего распространения пакетов и отчетов о сбросе пакетов. Этот инструмент может помочь вам подглядывать. Сеть и поможет вам устранить причину задержки сети, выявить затронутые приложения и, при использовании с дополнительным набором инструментов, может предоставить понимание основных показателей. В этом посте мы покажем, как можно использовать новый инструмент Network Sniffer Tool (PktMon.exe) в Windows 10.

Инструмент сетевого сниффера pktmon.exe в Windows 10

PktMon.exe или Packet Monitor - это новый сетевой сниффер или инструмент сетевой диагностики и мониторинга пакетов. Он находится в папке «Системы», что означает, что вы можете вызвать его из командной строки, командной строки или PowerShell.

Если программа напоминает вам о Netsh Trace Командуй, значит ты прав. Команда Netsh Trace помогает включить и настроить трассировку сети, чтобы помочь вам при устранении проблем с подключением к сети.

Что умеет PktMon?

Если вы запустите PktMon.exe Справка в командной строке. Вот что вы получите:

• фильтр: Управление пакетными фильтрами.
• комп: Управление зарегистрированными компонентами.
• сброс настроек: Обнулить счетчики.
• Начало: Начать мониторинг пакетов.
• останавливаться: Остановить мониторинг.
• формат: Преобразовать файл журнала в текст.
• разгрузить: Выгрузить драйвер PktMon.

И если вам нужна дополнительная помощь по конкретной команде, вы можете запустить справку для этой команды. Вот как это выглядит:

pktmon filter help pktmon filter список | добавить | remove [ОПЦИИ | помощь]

Список команд Отображение активных фильтров пакетов. add Добавить фильтр, чтобы контролировать, о каких пакетах сообщается. удалить Удаляет все фильтры.

PktMon.exe также поставляется с мониторингом в реальном времени и поддержкой формата файлов PCAPNG.

Читать: Как включить и протестировать DNS через HTTPS в Windows 10.

Как использовать PktMon для мониторинга сетевого трафика

Вот пример того, как его использовать, на простом примере.

1. Создайте фильтр для мониторинга порта
2. Начать мониторинг
3. Экспорт журнала в читаемый формат

В этом примере предполагается, что вы хотите отслеживать номер порта на компьютере, который может часто вызывать проблемы.

1. Создать фильтр

Основной параметр, позволяющий отслеживать трафик, - это -filter. Используя эту опцию, вы можете создать фильтр для управления отчетами о пакетах на основе кадра Ethernet, IP-заголовка, TCP-заголовка и инкапсуляции. Если вы запустите указанную ниже программу, вы получите полную информацию о том, что вы можете делать с фильтром.

pktmon filter добавить справку

Итак, возвращаясь к нашей теме, давайте предположим, что мы собираемся отслеживать TCP-порт № 1088. Это может быть порт, используемый вашим пользовательским приложением, которое дает сбой, и PktMon может помочь вам выяснить, является ли проблема в сети.

Откройте командную строку или PowerShell с правами администратора

Создайте фильтр пакетов с помощью команды: «pktmon filter add -p [порт]»

pktmon filter add -p 1088

Затем вы можете запустить команду «pktmon filter list», чтобы увидеть список добавленных фильтров.

Чтобы удалить все фильтры, выполните команду «pktmon filter remove»

2. Начать мониторинг

Поскольку это не автоматизированная программа, работающая в фоновом режиме, а работающая по запросу, вам необходимо запустить мониторинг вручную. Выполните следующую команду, чтобы начать мониторинг пакетов

pktmon start --etw - p 0

Он запустит мониторинг и создаст файл журнала в указанном месте. Вам придется вручную прекратить использование аргумента «стоп», чтобы остановить ведение журнала, или оно закончится, когда компьютер выключится. Если вы запустите команду с «-p 0», она захватит только 128 байт пакета.

Имя файла журнала: C: \ Windows \ system32 \ PktMon.etl Режим ведения журнала: Циклический Максимальный размер файла: 512 МБ

3. Экспорт журнала в читаемый формат

Файл журнала сохраняется в PktMon.ETL-файл, который можно преобразовать в удобочитаемый формат с помощью следующей команды

pktmon в формате PktMon.etl -o порт-монитор-1088.текст

Сделав это, пока вы открываете файл в блокноте и читаете его, чтобы понять смысл, вам придется использовать Microsoft Network Monitor. Он может напрямую читать файл ETL.

Тем не менее, ожидается, что Microsoft начнет развертывание поддержки мониторинга в реальном времени, что ожидалось в Windows 10 2004, но я пока не вижу такой возможности.

Связанное чтение: Бесплатные инструменты сниффинга пакетов для Windows 10.