- 現在との差分 を表示
- ソース を表示
- Windows10/pktmon へ行く。
1: 2020-05-24 (日) 20:58:36 nobuaki | 2: 2020-05-24 (日) 23:38:42 nobuaki | ||
---|---|---|---|
Line 3: | Line 3: | ||
**はじめに [#x4327d85] | **はじめに [#x4327d85] | ||
- | Windows 10の2020 Mayアップデートで,pktmonというLANアナライザが導入されたというので,使ってみた. | + | Windows 210 October 2018 Updateというリリースで,ひっそりとWindows 10にパケットキャプチャソフトを導入している. |
+ | |||
+ | 従来は,Microsoft Network MonitorやWiresharkをインストールする必要があったけれど,これが内蔵されているというのは,少々問題があるかもしれない. | ||
+ | |||
+ | 今回用いるマシンは,Windows 10の2020 Mayアップデートを適用したもので,pktmonというLANアナライザおよびパケットドロップをレポートするプログラムになる. | ||
+ | |||
+ | このpktmonについては,現時点(2020/05/24)では,Microsoftの公式サイト上でドキュメントはない. | ||
**無邪気に実行してみる [#f3f5c053] | **無邪気に実行してみる [#f3f5c053] | ||
Line 40: | Line 46: | ||
C:\Users\ujpadmin> | C:\Users\ujpadmin> | ||
+ | |||
+ | 一般ユーザ権限では,実行できないので,管理者権限でコマンドプロンプトを実行する. | ||
+ | |||
+ | **現在設定を確認する[#uff5e546] | ||
+ | |||
+ | コマンドプロンプトを管理者権限で起動する. | ||
+ | |||
+ | フィルタ設定の使い方のヘルプを確認. | ||
+ | |||
+ | C:\Windows\system32>pktmon filter help🆑 | ||
+ | pktmon filter { list | add | remove } [OPTIONS | help] | ||
+ | |||
+ | コマンド | ||
+ | list アクティブなパケット フィルターを表示します。 | ||
+ | add 報告対象のパケットを制御するフィルターを追加します。 | ||
+ | remove すべてのフィルターを削除します。 | ||
+ | |||
+ | help | ||
+ | コマンドのヘルプ テキストを表示します。 | ||
+ | |||
+ | |||
+ | C:\Windows\system32> | ||
+ | |||
+ | listを使って,現在のパケットフィルタ状態を確認する. | ||
+ | |||
+ | Microsoft Windows [Version 10.0.18363.836] | ||
+ | (c) 2019 Microsoft Corporation. All rights reserved. | ||
+ | |||
+ | C:\Windows\system32>pktmon filter list🆑 | ||
+ | パケット フィルターはありません。 | ||
+ | |||
+ | C:\Windows\system32> | ||
+ | |||
+ | パケットキャプチャ設定は設定されてない. | ||
+ | |||
+ | **パケットフィルタ設定を追加する addオプション [#wc22fbd2] | ||
+ | |||
+ | Webアクセスで用いる,HTTP(80番)とHTTPS(443番)ポートをパケットキャプチャする設定を追加する. | ||
+ | |||
+ | まずは,使い方を確認. | ||
+ | |||
+ | C:\Windows\system32>pktmon filter add help🆑 | ||
+ | pktmon filter add <名前> [-m mac [mac2]] [-v vlan] [-d { IPv4 | IPv6 | number }] | ||
+ | [-t { TCP [flags...] | UDP | ICMP | ICMPv6 | number }] | ||
+ | [-i ip [ip2]] [-p port [port2]] [-e [port]] | ||
+ | 報告対象のパケットを制御するフィルターを追加します。パケットを | ||
+ | 報告対象にするには、パケットが少なくとも 1 つのフィルターの、指定されたすべての条件に一致する必要があります。 | ||
+ | 一度に最大 8 つのフィルターをアクティブにすることができます。 | ||
+ | |||
+ | name | ||
+ | フィルターの名前または説明 (オプション)。 | ||
+ | |||
+ | イーサネット フレーム | ||
+ | -m, --mac[-address] | ||
+ | ソースまたは宛先の MAC アドレスを一致条件とします。2 つの MAC が指定された場合、 | ||
+ | ソースか宛先かに関係なく、フィルターはその両方を含む | ||
+ | パケットを検出します。 | ||
+ | |||
+ | -v, --vlan | ||
+ | 802.1Q ヘッダー内の VLAN ID (VID) を一致条件とします。 | ||
+ | |||
+ | -d, --data-link[-protocol], --ethertype | ||
+ | データ リンク (レイヤー 2) プロトコルを一致条件とします。IPv4、IPv6、ARP、または | ||
+ | プロトコル番号とすることができます。 | ||
+ | |||
+ | IP ヘッダー | ||
+ | -t, --transport[-protocol], --ip-protocol | ||
+ | トランスポート (レイヤー 4) プロトコルを一致条件とします。TCP、UDP、ICMP、ICMPv6、または | ||
+ | プロトコル番号とすることができます。 | ||
+ | TCP パケットをさらにフィルター処理するために、一致条件とする TCP フラグの一覧を指定できます | ||
+ | (オプション)。サポートされているフラグは FIN、SYN、RST、PSH、ACK、URG、ECE、CWR です。 | ||
+ | |||
+ | -i, --ip[-address] | ||
+ | ソースまたは宛先の IP アドレスを一致条件とします。2 つの IP が指定された場合、 | ||
+ | ソースか宛先かに関係なく、フィルターはその両方を含む | ||
+ | パケットを検出します。 | ||
+ | |||
+ | TCP/UDP ヘッダー | ||
+ | -p, --port | ||
+ | ソースまたは宛先のポート番号を一致条件とします。2 つのポートが指定された場合、 | ||
+ | ソースか宛先かに関係なく、フィルターはその両方を含む | ||
+ | パケットを検出します。 | ||
+ | |||
+ | カプセル化 | ||
+ | -e, --encap | ||
+ | カプセル化したヘッダーをフィルター条件とします。 | ||
+ | サポートされるカプセル化の種類: VXLAN、GRE、NVGRE、IP-in-IP。 | ||
+ | カスタム VXLAN ポートはオプションです。既定値は 4789 です。 | ||
+ | |||
+ | |||
+ | C:\Windows\system32> | ||
+ | |||
+ | |||
+ | 80番ポートを追加する. | ||
+ | |||
+ | C:\Windows\system32>pktmon filter add -p 80🆑 | ||
+ | フィルターが追加されました。 | ||
+ | |||
+ | C:\Windows\system32> | ||
+ | |||
+ | 追加された設定を確認する. | ||
+ | |||
+ | C:\Windows\system32>pktmon filter list🆑 | ||
+ | # 名前 ポート | ||
+ | - -- --- | ||
+ | 1 <empty> 80🈁 | ||
+ | |||
+ | C:\Windows\system32> | ||
+ | |||
+ | |||
+ | 443番ポートを追加して確認する. | ||
+ | |||
+ | C:\Windows\system32>pktmon filter add -p 443🆑 | ||
+ | フィルターが追加されました。 | ||
+ | |||
+ | C:\Windows\system32>pktmon filter list🈁 | ||
+ | # 名前 ポート | ||
+ | - -- --- | ||
+ | 1 <empty> 80 | ||
+ | 2 <empty> 443🈁 | ||
+ | |||
+ | C:\Windows\system32> | ||
+ | |||
+ | やっぱり443ポートは止めるので消す. | ||
+ | |||
+ | 消す時はremoveコマンドの模様. | ||
+ | |||
+ | C:\Windows\system32>pktmon filter remove help🆑 | ||
+ | pktmon filter remove | ||
+ | すべてのパケット フィルターを削除します。 | ||
+ | |||
+ | |||
+ | C:\Windows\system32> | ||
+ | |||
+ | 全部消す方法しかないらしい. | ||
+ | |||
+ | |||
+ | C:\Windows\system32>pktmon start --etw -p 0 | ||
+ | |||
+ | ログ ファイル名: C:\Windows\system32\PktMon.etl | ||
+ | ログ モード: 循環 | ||
+ | 最大ファイル サイズ: 512 MB | ||
+ | |||
+ | アクティブな測定を開始しました。 | ||
+ | |||
+ | C:\Windows\system32> |
- Windows10/pktmon のバックアップ一覧
- Windows10/pktmon のバックアップ差分(No. All)
- 1: 2020-05-24 (日) 20:58:36 nobuaki
- 2: 2020-05-24 (日) 23:38:42 nobuaki
- 現: 2020-05-25 (月) 00:56:40 nobuaki
Counter: 4257,
today: 4,
yesterday: 2