Giám sát gói (PktMon.exe ) là một trình phân tích lưu lượng mạng tích hợp sẵn (trình đánh hơi) đã được giới thiệu trong Windows 10 1809 và Windows Server 2019. Trong Bản cập nhật Windows 10 tháng 5 năm 2020 (phiên bản 2004), nhiều tính năng mới của Packet Monitor đã được triển khai (gói thời gian thực chụp hiện đã được hỗ trợ, hỗ trợ định dạng PCAPNG để dễ dàng nhập vào bộ phân tích lưu lượng Wireshark). Do đó, Windows có một tính năng để nắm bắt các gói mạng tương tự như của tcpdump và quản trị viên hệ thống hoặc mạng có thể sử dụng nó để chẩn đoán hoạt động và hiệu suất mạng.
Packet Monitor cho phép bạn nhận tất cả hoạt động mạng đi qua giao diện mạng của máy tính ở cấp độ gói mạng.
Dễ dàng hơn,netsh trace lệnh được sử dụng để nắm bắt lưu lượng mạng và kiểm tra các gói trong Windows.
Bạn có thể nhận trợ giúp về pktmon.exe các tùy chọn và cú pháp bằng cách chạy công cụ trong dấu nhắc lệnh.
Dưới đây là các lệnh cơ bản của Packet Monitor:
- bộ lọc —Các bộ lọc gói quản lý
- comp –Các thành phần đã đăng ký quản lý
- đặt lại —Đặt trước bộ đếm gói
- bắt đầu –Bắt đầu giám sát gói tin
- dừng lại —Giám sát gói hàng đầu
- định dạng –Chuyển đổi tệp nhật ký lưu lượng thành định dạng văn bản
- pcapng –Chuyển đổi sang định dạng pcapng
- dỡ bỏ –Tải trình điều khiển PktMon
Để nhận trợ giúp về một lệnh con, hãy nhập tên của nó:
pktmon filter
Hãy cố gắng thu thập một lượng lớn lưu lượng truy cập đến một số dịch vụ đang chạy trên thiết bị Windows 10. Giả sử, chúng ta muốn phân tích lưu lượng FTP (TCP cổng 20, 21) và HTTP (Cổng 80 và 443).
Tạo bộ lọc gói cho các cổng TCP (ngoài ra, bạn có thể theo dõi lưu lượng UDP và ICMP):
pktmon filter add -p 20 21
pktmon filter add HTTPFilter –p 80 443
Hiển thị danh sách các bộ lọc đang hoạt động:
pktmon filter list
Để chạy tính năng thu thập lưu lượng truy cập nền, hãy chạy lệnh sau:
pktmon start –etw
Log file name: C:\Windows\System32\PktMon.etl Logging mode: Circular Maximum file size: 512 MB Active measurement started.
pktmon start --etw -p 0 -c 9
đâu c giá trị là ID của giao diện mạng mà bạn có thể lấy bằng lệnh này:
pktmon comp list
Bộ lọc gói sẽ ghi tất cả lưu lượng phù hợp với bộ lọc bạn đã đặt thành C:\Windows\System32\PktMon.etl (kích thước tệp tối đa của nó là 512 MB). Để dừng ghi kết xuất, hãy chạy lệnh sau:
pktmon stop
Ngoài ra, các gói mạng ngừng được thu thập sau khi khởi động lại Windows.
Sau đó, bạn có thể chuyển đổi tệp kết xuất lưu lượng từ ETL sang định dạng văn bản thuần túy:
pktmon format PktMon.etl -o c:\ps\packetsniffer.txt
hoặc
pktmon PCAPNG PktMon.etl -o c:\ps\packetsniffer.pcapng
Bạn có thể phân tích kết xuất lưu lượng ở định dạng văn bản hoặc nhập tệp ETL vào Microsoft Network Monitor hoặc WireShark (ở định dạng PCAPNG) được cài đặt trên máy tính của quản trị viên.
Để loại bỏ tất cả các bộ lọc Packet Monitor mà bạn đã tạo, hãy chạy lệnh sau:
pktmon filter remove
Bạn có thể sử dụng PktMon để theo dõi lưu lượng mạng trong thời gian thực. Để làm điều đó, hãy sử dụng -l real-time tham số. Trong chế độ này, các gói tin đã chụp được hiển thị trong bảng điều khiển và không được ghi vào tệp nhật ký ở chế độ nền.
pktmon start --etw -p 0 -l real-time
Ctrl+C . Nếu bạn thấy mất (rớt) gói trong giao diện mạng của mình, PacketMon có thể cho bạn biết lý do (ví dụ:MTU hoặc VLAN không chính xác).
Bạn cũng có thể sử dụng PktMon trong Trung tâm quản trị Windows bằng các tiện ích mở rộng. Dữ liệu bạn thu thập từ máy tính hoặc máy chủ khi chẩn đoán sự cố mạng có thể được sử dụng trong phần mềm phân tích lưu lượng mạng mạnh mẽ hơn, như Microsoft Network Monitor hoặc Wireshark.