UJP - 技術情報2 バックアップ : [Windows10/pktmon の変更点]

ソースを表示
Windows10/pktmon へ行く。

--- 2: 2020-05-24 (日) 23:38:42 nobuaki
+++ 現: 2020-05-25 (月) 00:56:40 nobuaki
@@ Line 17: / Line 17: @@
  Microsoft Windows [Version 10.0.18363.836]
  (c) 2019 Microsoft Corporation. All rights reserved.
  C:\Users\ujpadmin>pktmon🆑
  pktmon { filter | comp | reset | start | stop } [OPTIONS | help]
      内部パケット伝達レポートとパケット ドロップ レポートを監視します。
  コマンド
      filter     パケット フィルターを管理します。
      comp       登録されたコンポーネントを管理します。
      reset      カウンターをゼロにリセットします。
      start      パケットの監視を開始します。
@@ Line 31: / Line 31: @@
      format     ログ ファイルをテキストに変換します。
      unload     PktMon ドライバーをアンロードします。
  help
      コマンドのヘルプ テキストを表示します。
  C:\Users\ujpadmin
@@ Line 41: / Line 41: @@
 　まずは，現在設定を確認してみる．
  C:\Users\ujpadmin> pktmon filter list🆑
  PktMon ドライバー サービスを開始できませんでした: アクセスが拒否されました。🈁
  C:\Users\ujpadmin>
@@ Line 57: / Line 57: @@
  C:\Windows\system32>pktmon filter help🆑
  pktmon filter { list | add | remove } [OPTIONS | help]
  コマンド
      list      アクティブなパケット フィルターを表示します。
      add       報告対象のパケットを制御するフィルターを追加します。
      remove    すべてのフィルターを削除します。
  help
      コマンドのヘルプ テキストを表示します。
  C:\Windows\system32>
@@ Line 73: / Line 73: @@
  Microsoft Windows [Version 10.0.18363.836]
  (c) 2019 Microsoft Corporation. All rights reserved.
  C:\Windows\system32>pktmon filter list🆑
  パケット フィルターはありません。
  C:\Windows\system32>
@@ Line 94: / Line 94: @@
      報告対象にするには、パケットが少なくとも 1 つのフィルターの、指定されたすべての条件に一致する必要があります。
      一度に最大 8 つのフィルターをアクティブにすることができます。
  name
      フィルターの名前または説明 (オプション)。
  イーサネット フレーム
      -m, --mac[-address]
@@ Line 103: / Line 103: @@
          ソースか宛先かに関係なく、フィルターはその両方を含む
          パケットを検出します。
      -v, --vlan
 .1Q ヘッダー内の VLAN ID (VID) を一致条件とします。
      -d, --data-link[-protocol], --ethertype
          データ リンク (レイヤー 2) プロトコルを一致条件とします。IPv4、IPv6、ARP、または
          プロトコル番号とすることができます。
  IP ヘッダー
      -t, --transport[-protocol], --ip-protocol
@@ Line 117: / Line 117: @@
          TCP パケットをさらにフィルター処理するために、一致条件とする TCP フラグの一覧を指定できます
          (オプション)。サポートされているフラグは FIN、SYN、RST、PSH、ACK、URG、ECE、CWR です。
      -i, --ip[-address]
          ソースまたは宛先の IP アドレスを一致条件とします。2 つの IP が指定された場合、
          ソースか宛先かに関係なく、フィルターはその両方を含む
          パケットを検出します。
  TCP/UDP ヘッダー
      -p, --port
@@ Line 128: / Line 128: @@
          ソースか宛先かに関係なく、フィルターはその両方を含む
          パケットを検出します。
  カプセル化
      -e, --encap
@@ Line 134: / Line 134: @@
          サポートされるカプセル化の種類: VXLAN、GRE、NVGRE、IP-in-IP。
          カスタム VXLAN ポートはオプションです。既定値は 4789 です。
  C:\Windows\system32>
@@ Line 143: / Line 143: @@
  C:\Windows\system32>pktmon filter add -p 80🆑
  フィルターが追加されました。
  C:\Windows\system32>
@@ Line 152: / Line 152: @@
   - --      ---
 <empty>  80🈁
  C:\Windows\system32>
@@ Line 160: / Line 160: @@
  C:\Windows\system32>pktmon filter add -p  443🆑
  フィルターが追加されました。
  C:\Windows\system32>pktmon filter list🈁
   # 名前      ポート
@@ Line 166: / Line 166: @@
 <empty>  80
 <empty> 443🈁
  C:\Windows\system32>
@@ Line 176: / Line 176: @@
  pktmon filter remove
      すべてのパケット フィルターを削除します。
+ C:\Windows\system32>
+　全部消す方法しかないらしい．
+　削除して，消えたか確認する．
+ C:\Windows\system32>pktmon filter remove🆑
+ すべてのフィルターが削除されました。🈁
+ C:\Windows\system32>pktmon filter list🆑
+ パケット フィルターはありません。🈁
  C:\Windows\system32>
-　全部消す方法しかないらしい．
+　そして再度，80番ポートだけ追加して，追加を確認する．
+ C:\Windows\system32>pktmon filter add -p 80🆑
+ フィルターが追加されました。🈁
+ C:\Windows\system32>pktmon filter list🆑
+  # 名前      ポート
+  - --      ---
+<empty>  80🈁
+ C:\Windows\system32>
- C:\Windows\system32>pktmon start --etw -p 0
+　今回は，この80番ポートのみ，キャプチャ対象として実行する．
+**pktmon startでキャプチャを実行する [#cc815884]
- ログ ファイル名:     C:\Windows\system32\PktMon.etl
+　pktmonはstartオプションを指定する事で実行できるが，パラメータを確認する．
+ C:\Windows\system32>pktmon start help🆑
+ pktmon start [-c { all | nics | [ids...] }] [-d] [--etw [-p size] [-k keywords]]
+              [-f] [-s] [-r] [-m]
+     パケットの監視を開始します。
+ -c, --components
+     監視対象のコンポーネントを選択します。すべてのコンポーネント、NIC のみ、または
+     コンポーネント ID の一覧を指定できます。既定値は all です。
+ -d, --drop-only
+     ドロップされたパケットのみを報告します。既定では、正常に処理されたパケット伝達
+     も報告します。
+ ETW ロギング
+     --etw
+         パケット キャプチャのロギング セッションを開始します。
+     -p, --packet-size
+         各パケットからログに記録するバイト数。常にパケット全体を
+         ログに記録するには、0 に設定します。既定値は 128 バイトです。
+     -k, --keywords
+         どのイベントがログに記録されるかを制御する 16 進数の
+         ビットマスク (以下のフラグを合わせたもの)。既定では、すべてのイベントがログに記録されます。
+         フラグ:
+x001 - 全般構成イベント。
+x002 - カウンターを含むコンポーネント関連情報。
+x004 - 事前に解析されたパケット。
+x008 - パケット メタデータ (NBL OOB)。
+x010 - 未処理のパケット ペイロード。
+    -f, --file-name
+         .etl ログ ファイル。既定値は PktMon.etl です。
+    -s, --file-size
+         ログ ファイルの最大サイズ (MB 単位)。既定値は 512 MB です。
+    ロギング モード
+        -r, --circular
+            最大ファイル サイズに達すると、新しいイベントによって
+            最も古いイベントが上書きされます。
+        -m, --multi-file
+            最大ファイル サイズに達すると、新しいログ ファイルが作成されます。
+            ログ ファイルには、PktMon1.etl、PktMon2.etl のように順番に番号が付けられます。
+ C:\Windows\system32>
+　ETWとは，Event Tracing for Windowsの事．通信ログはこのETWに流れてくるそうで，これをログイングするために--etwオプションを設定する．またパケットサイズは全てを保存するので0を設定．
+　そのほかのオプションはデフォルトとする．
+　次のようにコマンドプロンプトで実行する．
+ C:\Windows\system32>pktmon start --etw -p 0🆑
+ ログ ファイル名:     C:\Windows\system32\PktMon.etl🈁
  ログ モード:      循環
  最大ファイル サイズ: 512 MB
  アクティブな測定を開始しました。
+ C:\Windows\system32>
+　ブラウザを使って，適度にWebブラウジングする．
+　次に，パケットキャプチャを停止する．
+ C:\Windows\system32>pktmon stop🆑
+ ログ ファイル: C:\Windows\system32\PktMon.etl (イベントは失われていません)
+ Intel(R) Dual Band Wireless-AC 7265
+  ID 名前                  カウンター 方向 パケット    バイト | 方向  パケット        バイト
+  -- --                       -----    --   ----          --- | --    ----        ---
+Native WiFi Filter Dr... Upper    Rx    828    1,148,635 | Tx     189     25,038
+VirtualBox NDIS Light... Upper    Rx    828    1,148,635 | Tx     189     25,038
+QoS Packet Scheduler     Upper    Rx      0            0 | Tx     189     25,038
+                                                              |
+TCPIP (NDIS)             Lower    Rx    828    1,148,635 | Tx     189     25,038
+LLTDIO                   Lower    Rx    828    1,148,635 | Tx       0          0
+NDISUIO                  Lower    Rx    828    1,148,635 | Tx       0          0
  C:\Windows\system32>
+　これでキャプチャ完了．
+**ログファイルを可読化する pkmon format[#g35025b2]
+　キャプチャした際のログファイルを確認する．
+ C:\Windows\system32>dir C:\Windows\system32\PktMon.etl🆑
+  ドライブ C のボリューム ラベルがありません。
+  ボリューム シリアル番号は F464-9747 です
+  C:\Windows\system32 のディレクトリ
+/05/24  20:10        83,886,080 PktMon.etl🈁
+個のファイル          83,886,080 バイト
+個のディレクトリ  373,325,750,272 バイトの空き領域
+ C:\Windows\system32>
+MBのファイルができていた．（キャプチャした内容に依存する）
+　ETW形式でバイナリなので人間が読めるように変換をし，返還後のファイルサイズを確認．
+ C:\Windows\system32>pktmon format PktMon.etl -o pktmon.txt🆑
+ 処理しています...
+ 書式設定されたイベント: 15406
+ 書式設定されたファイル:    pktmon.txt
+ C:\Windows\system32>dir pktmon.txt🆑
+  ドライブ C のボリューム ラベルがありません。
+  ボリューム シリアル番号は F464-9747 です
+  C:\Windows\system32 のディレクトリ
+/05/24  20:13         7,778,150 pktmon.txt
+個のファイル           7,778,150 バイト
+個のディレクトリ  373,320,957,952 バイトの空き領域
+ C:\Windows\system32>
+　テキストになった方がサイズは減った．
+**変換したログをメモ帳で開く [#j92d6ab9]
+　記録されたファイルは，可読性のあるテキストという事で，開いてみる．
+#ref(site://modules/xelfinder/index.php?page=view&file=7108&pktmon01.png,center,mw:600,mh:600)
+　IPアドレス，MACアドレスなどが記録されていることはわかる．また，日本語に変換されていて，区切り文字が「、」だったりするし，このままの生ログだと実質人間は読めない．．．
+　このログファイルは，Microsoft Network Monitorを利用することで，読みやすくできる模様．

« Prev

Windows10/pktmon のバックアップ一覧
Windows10/pktmon のバックアップ差分(No. All)
- 1: 2020-05-24 (日) 20:58:36 nobuaki
- 2: 2020-05-24 (日) 23:38:42 nobuaki
- 現: 2020-05-25 (月) 00:56:40 nobuaki

ぺージ情報
ぺージ名 :	Windows10/pktmon
ページ別名 :	未設定
ページ作成 :	nobuaki
閲覧可
グループ :	すべての訪問者
ユーザー :	すべての訪問者
編集可
グループ :	すべての訪問者
ユーザー :	すべての訪問者

Counter: 6319, today: 2, yesterday: 1

Windows10​/pktmon の変更点

Windows10/pktmon の変更点