Как использовать анализатор пакетов PktMon в Windows 10
Windows 10 предлагает встроенный инструмент сетевого анализатора PktMon.exe для мониторинга внутреннего распространения пакетов и отчетов о сбрасывании пакетов. Этот инструмент может помочь вам исследовать сеть и помочь устранить причину задержки в сети, выявить уязвимые приложения и, при использовании с дополнительным набором инструментов, может предоставить представление о главных показателях.
В то время как пользователи Linux всегда имели инструмент tcpdump для отслеживания сети, пользователям Windows приходилось устанавливать сторонние программы, такие как Microsoft Network Monitor и Wireshark .
Сетевой анализатор пакетов pktmon.exe в Windows 10
PktMon или Packet Monitor — это новый сетевой анализатор (сниффер) или средство диагностики сети и мониторинга пакетов. Он находится в папке System (C:\Windows\system32\pktmon.exe.), что означает, что вы можете вызвать его из командной строки , при помощи утилиты Run или PowerShell .
Как запустить Packet Monitor в Windows 10?
Для запуска Packet Monitor сначала необходимо открыть окно командной строки.
- Нажмите Ctrl + R, чтобы открыть Run и введите cmd, затем нажмите Enter или нажмите кнопку OK.
- В командной строке введите pktmon.exe и нажмите Enter.
Что может PktMon?
Если вы запустите справку PktMon, введя в командной строке pktmon help, вот что вы получите:
- filter : управление фильтрами пакетов
- comp : управление зарегистрированными компонентами
- reset : сброс счетчиков до нуля
- start : начать мониторинг пакетов
- stop : остановить мониторинг
- format : преобразовать файл логов в текст
- unload : выгрузить драйвер PktMon.
И если вам нужна дополнительная помощь по конкретной команде, вы можете запустить справку для этой команды. Вот как это выглядит:
pktmon filter help
pktmon filter < list | add | remove >[OPTIONS | help]
Commands
list Display active packet filters.
add Add a filter to control which packets are reported.
remove Removes all filters.
Как использовать PktMon для мониторинга сетевого трафика
Рассмотрим как использовать PktMon. В этом примере предполагается, что вы хотите отслеживать порт на компьютере, который часто имеет проблемы. Для этого необходимо:
- Создать фильтр для мониторинга порта
- Начать мониторинг
- Экспортировать логи в читаемый формат
Создание фильтра
Основная опция, которая позволяет вам отслеживать трафик — это filter. Используя эту опцию, вы можете создать фильтр, чтобы контролировать, какие пакеты будут под наблюдением, на основе кадра Ethernet, заголовка IP, заголовка TCP и инкапсуляции. Если вы запустите нижеупомянутую команду, вы получите полную информацию о том, что вы можете сделать с фильтром.
pktmon filter add help
Итак, возвращаясь к нашей теме, давайте предположим, что нам нужен порт TCP 1088. Это может быть порт, используемый вашим пользовательским приложением, который начал сбоить.
Откройте командную строку или PowerShell с правами администратора и создайте фильтр пакетов с помощью команды: pktmon filter add -p [port]
pktmon filter add -p 1088
Чтообы удалить все фильтры, выполните команду pktmon filter remove
Начать мониторинг
Поскольку это не автоматическая программа, работающая в фоновом режиме, а работающая по требованию, вам нужно запустить мониторинг вручную. Запустите следующую команду, чтобы начать мониторинг пакетов:
pktmon start —etw — p 0
Она запустит мониторинг и создаст файл с логами в указанном месте. Вам нужно будет вручную останавливать мониторинг, используя аргумент stop, чтобы остановить ведение лога, или это само закончится, когда компьютер выключится. Если вы запустите команду с -p 0, то она будет захватывать только 128 байтов пакета.
После выполнения pktmon записывает все пакеты на ВСЕХ сетевых интерфейсах устройства. Чтобы захватывать весь пакет и только с определенного устройства Ethernet, вы можете использовать аргументы -p 0 (захват всего пакета) и -c 13 (захват только с адаптера с идентификатором 13). Чтобы определить ID вашего адаптера, вы можете запустить команду pktmon comp list
Log filename: C:\Windows\system32\PktMon.etl
Logging mode: Circular
Maximum file size: 512 MB
Экспорт лога в читаемый формат
Файл журнала сохраняется в файле PktMon.ETL, который можно преобразовать в удобочитаемый формат с помощью следующей команды:
pktmon format PktMon.etl -o port-monitor-1088.txt
Таким образом мы на выходе получаем .txt файл с логами, который можно открыть в блокноте. Однако чтобы извлечь выгоду из полученных данных, стоит скачать и установить Microsoft Network Monitor и использовать его для просмотра файла ETL. Используя Network Monitor, вы можете увидеть полный пакет, который был отправлен, включая любую текстовую информацию.
Мониторинг в реальном времени
Вы можете включить мониторинг в реальном времени, используя аргумент -l real-time. Это приведет к тому, что захваченные пакеты будут отображаться непосредственно на экране, а также сохраняться в файле ETL.
Microsoft также добавила возможность конвертировать файлы ETL в формат PCAPNG , чтобы их можно было использовать в таких программах, как Wireshark.
pktmon pcapng help
После преобразования файла в формат PCAPNG их можно открыть в Wireshark.
Сбор данных с помощью сетевого монитора Collect data using Network Monitor
В этом разделе вы узнаете, как использовать сетевой монитор Microsoft 3,4, который является средством для захвата сетевого трафика. In this topic, you will learn how to use Microsoft Network Monitor 3.4, which is a tool for capturing network traffic.
Сетевой монитор является анализатором архивированных протоколов и больше не находится в разработке. Network Monitor is the archived protocol analyzer and is no longer under development. Microsoft Message Analyzer — это замена в сетевом мониторе. Microsoft Message Analyzer is the replacement for Network Monitor. Дополнительные сведения можно найти в Руководстве Microsoft Message Analyzer. For more details, see Microsoft Message Analyzer Operating Guide.
Чтобы приступить к работе, скачайте и запустите NM34_x64.exe. To get started, download and run NM34_x64.exe. При установке сетевого монитора он устанавливает драйвер и подключает его ко всем сетевым адаптерам, установленным на устройстве. When you install Network Monitor, it installs its driver and hooks it to all the network adapters installed on the device. Вы увидите одно и то же на вкладке Свойства адаптера, как показано на рисунке ниже. You can see the same on the adapter properties, as shown in the following image.
Если драйвер подключен к сетевому интерфейсу (NIC) во время установки, сетевая карта инициализируется повторно, что может привести к сбою в работе сети. When the driver gets hooked to the network interface card (NIC) during installation, the NIC is reinitialized, which might cause a brief network glitch.
Чтобы записать трафик To capture traffic
Запустите NetMon в состоянии с повышенными привилегиями, выбрав команду Запуск от имени администратора. Run netmon in an elevated status by choosing Run as Administrator.
Откроется сетевой монитор с отображением всех сетевых адаптеров. Network Monitor opens with all network adapters displayed. Выберите Сетевые адаптеры, для которых вы хотите записать трафик, нажмите кнопку создать запись, а затем нажмите кнопку начать. Select the network adapters where you want to capture traffic, click New Capture, and then click Start.
Воспроизведите этот вопрос, и вы увидите, что сетевой монитор извлекает пакеты по каналу связи. Reproduce the issue, and you will see that Network Monitor grabs the packets on the wire.
Нажмите кнопку остановитьи перейдите в раздел файл > сохранить как , чтобы сохранить результаты. Select Stop, and go to File > Save as to save the results. По умолчанию файл сохраняется как файл «. Cap». By default, the file will be saved as a «.cap» file.
Сохраненный файл получил весь трафик, который передается на выбранные сетевые адаптеры на локальном компьютере и с него. The saved file has captured all the traffic that is flowing to and from the selected network adapters on the local computer. Тем не менее, вам нужно будет просмотреть трафик и пакеты, которые связаны с проблемой, связанной с конкретным подключением. However, your interest is only to look into the traffic/packets that are related to the specific connectivity problem you are facing. Поэтому вам потребуется отфильтровать сетевое перезапись, чтобы просмотреть только связанный трафик. So you will need to filter the network capture to see only the related traffic.
Часто используемые фильтры Commonly used filters
- IPv4. Address = = «клиент IP» и IPv4. Address = = «IP-адрес сервера» Ipv4.address==»client ip» and ipv4.address==»server ip»
- TCP. Port = = Tcp.port==
- UDP. Port = = Udp.port==
- — Icmp
- Модуле Arp
- Property. tcpretranmits Property.tcpretranmits
- Property. tcprequestfastretransmits Property.tcprequestfastretransmits
- TCP. flags. SYN = = 1 Tcp.flags.syn==1
Если вы хотите отфильтровать захват для определенного поля и не знаете синтаксис этого фильтра, просто щелкните его правой кнопкой мыши и выберите команду Добавить выбранное значение для отображения фильтра. If you want to filter the capture for a specific field and do not know the syntax for that filter, just right-click that field and select Add the selected value to Display Filter.
Трассировки сети, собранные с помощью команд netsh , встроенных в Windows, имеют расширение ETL. Network traces which are collected using the netsh commands built in to Windows are of the extension «ETL». Тем не менее, эти файлы ETL можно открыть в сетевом мониторе для дальнейшего анализа. However, these ETL files can be opened using Network Monitor for further analysis.
Как в Windows 10 отследить приложения, которые используют сеть?
Читайте, как в Windows 10 просмотреть данные об использовании сети приложениями и определить какие программы загружают вашу сеть. Рассмотрим только встроенные в ситему инструменты.
Введение
Основной поток обмена разнообразными пакетами данных, получение и отправка различных образцов сообщений, обновлений и улучшений операционной системы и установленных на устройстве приложений происходит посредством разновидности сетевых соединений, включая как международную сеть «Интернет» , так и локальные компьютерные сети. Различные разрешенные приложения могут нагружать сеть, снижая производительность компьютера, а также возможны скрытые обращения от приложений, доступ которых к сети запрещен, например, вредоносные вирусные программы. Поэтому пользователи заинтересованы в возможности получать сведения об использовании сети установленными приложениями.
И операционная система «Windows 10» может вести учет и предоставлять пользователям сводный информационный реестр о том, какие из, установленных на компьютере, приложений используют сеть прямо сейчас и сколько данных они передают. А также дополнительно ознакомить со списком приложений, которые использовали сеть в течение последних тридцати дней.
Используя представленные в данной статье способы, пользователи смогут получить исходные данные о полном использовании всех доступных сетей. Независимо от того, взаимодействует ли приложение с удаленным сервером в «Интернете» или другим компьютером в подключенной локальной сети, сведения все равно будет представлены как использование вашего сетевого подключения.
Примечание. Если пользователи столкнулись с проблемой, когда операционная система «Windows 10» не способна определить компьютеры сетевого окружения, либо конкретное пользовательское компьютерное устройство не отображается в означенном кругу, то руководство «Windows 10 не видит компьютеры в локальной сети, что делать?» на нашем видеоканале позволит исправить возникшую неполадку.
Используйте приложение «Диспетчер задач» , чтобы ознакомиться с текущим использованием сети
В операционной системе «Windows 10» пользователям для прямого изучения и просмотра перечня запущенных приложений, которые используют вашу сеть прямо сейчас, а также уточнения непосредственного количества данных, которые они обновляют, отправляют или загружают, необходимо воспользоваться возможностями системного предустановленного прикладного приложения «Диспетчер задач» .
Получить доступ к означенному приложению «Диспетчер задач» можно многими различными способами. Мы остановимся на нескольких самых распространенных и наиболее удобных вариантах.
Способ 1. Нажмите совместно комбинацию клавиш «Ctrl + Alt + Delete» и в кратком меню принудительного выхода выберите раздел «Диспетчер задач» .
Способ 2. Щелкните правой кнопкой мыши по кнопке «Пуск» , расположенной на «Панели задач» в нижнем левом углу рабочего стола, или нажмите совместно сочетание клавиш «Windows + X» и откройте меню «Опытного пользователя» . Из списка предложенных вариантов доступных действий выберите раздел «Диспетчер задач» .
Способ 3. Щелкните правой кнопкой мыши по свободному пространству «Панели задач» и во всплывающем контекстном меню управления выберите из вариантов параметров панели раздел «Диспетчер задач» .
Способ 4. Откройте диалоговое окно «Выполнить» , используя совместное нажатие комбинации клавиш «Windows + R» , в поле «Открыть» введите команду «taskmgr» , нажмите на кнопку «ОК» или клавишу «Ввод» на клавиатуре для исполнения, и приложение «Диспетчер задач» будет запущено незамедлительно.
Способ 5. Вероятно, самый быстрый способ добиться мгновенного отображения системного приложения «Диспетчер задач» , который состоит в использовании совместной комбинации клавиш «Ctrl + Shift + Esc» , позволяющий выполнить прямой переход в искомое приложение. Также такой способ успешно работает при использовании удаленного рабочего стола или во время работы в виртуальной машине (в отличие от способа, в котором задействовано сочетание клавиш «Ctrl + Alt + Delete» ).
После запуска приложения «Диспетчер задач» во вкладке «Процессы» щелкните заголовок графы «Сеть» , чтобы отсортировать список запущенных процессов по уровню использования сети.
Просмотрев список, пользователи смогут определить, какие приложения используют сеть и ознакомиться с величиной пропускной способности для каждого конкретного подключения.
Примечание. Если список вкладок приложения «Диспетчер задач» не отображается и содержит лишь перечень запущенных приложений, то нажмите на кнопку «Подробнее» для перехода к расширенной форме представления содержимого приложения.
С технической точки зрения, в отмеченной графе указан не полный список приложений. Если запущенный процесс не использует много сетевых ресурсов, то система учета «Windows 10» округляет значение пропускной способности до «0 Мбит / с» (мегабит в секунду), и не всегда отображает его в представленном списке. Данный способ только помогает быстро определить, какие процессы используют заметный объем пропускной способности.
Запустите приложение «Монитор ресурсов» для получения детальных сведений
«Монитор ресурсов» представляет собой предустановленный системный инструмент, дополненный графическим интерфейсом, осуществляющий сбор разнообразной информации, обрабатывающий и представляющий для дальнейшей оценки пользователям подробные сведения об использовании операционной системой и различными запущенными приложениями ресурсов компьютерного устройства, включая процессор, оперативную память «RAM» , обмен данными по сетевому соединению, внутренние дисковые хранилища информации, а также максимально контролирует активные процессы и службы.
Часть функций по контролю за ресурсами системы присутствуют в привычном приложении «Диспетчер задач» , но для более подробной информации и статистического обзора, необходимо использовать данный инструмент. Кроме того, в режиме реального времени «Монитор ресурсов» позволяет наблюдать за конкретными процессами (в том числе испытывающих проблемы с исполнением и не реагирующих не обращение системы), идентифицировать, использующие сетевое подключение, приложения и файлы, и отслеживать их исполнение.
Для получения более подробной информации откройте приложение «Монитор ресурсов» , используя любой известный способ. Мы представим на выбор два распространенных способа из доступного многообразия возможных вариантов.
Способ 1. Откройте любым, из представленных ранее, способом приложение «Диспетчер задач» и выберите вкладку «Производительность» . В левом нижнем углу окна нажмите на текстовую ссылку «Открыть монитор ресурсов» , и требуемое приложение контроля за использованием ресурсов будет запущено.
Способ 2. Совместным нажатием комбинации клавиш «Windows + R» добейтесь отображения диалогового окна «Выполнить» , в котором в строке «Открыть» введите команду «perfmon /res» и нажмите на кнопку «ОК» или клавишу «Ввод» на клавиатуре для исполнения. Приложение «Монитор ресурсов» будет открыто незамедлительно.
Теперь в окне приложения под лентой главного меню отыщите и перейдите на вкладку «Сеть» . В основном окне вкладки в панели «Процессы с сетевой активностью» будет представлен полный список процессов, отправляющих и получающих наборы пакетных данных по сети. А также в отдельной графе пользователи смогут получить сведения о средней скорости передачи данных каждого конкретного учтенного процесса за последнюю минуту, выраженные в «байт/с» (байт в секунду).
Табличный реестр сведений показывает все запущенные процессы, использующие даже небольшую пропускную способность сети, которая в «Диспетчере задач» имела бы нулевое значение или отсутствовала бы полностью.
В дополнительных панелях пользователи могут ознакомиться с данными сетевой активности, включающими идентификатор процесса и адрес, к которому данный процесс подключен, получить сведения о «TCP-подключениях» и прослушиваемых портах.
Также, как и в списке приложений «Диспетчера задач» , так и в перечне процессов сетевой активности «Монитора ресурсов» , пользователи, нажатием правой кнопкой мыши по интересующему приложению, могут выбрать во всплывающем контекстном меню раздел «Поиск в Интернете» , чтобы получить значительно больше информации о происходящем процессе.
Просмотр данных об использовании сети приложениями за последние тридцать дней
Операционная система «Windows 10» оснащена разнообразными настройками, способными управлять и контролировать исполнение различных процессов. Основной набор системных инструментов в полной мере представлен в приложении «Параметры» . В соответствующем разделе приложения пользователи могут отследить, какие приложения непосредственно используют сеть и сколько данных они передают. Чтобы отыскать и ознакомиться с такой информацией, пользователям потребуется открыть приложение «Параметры» , используя любой, из известных или наиболее удобный, способ. В качестве примера мы представим три возможных варианта доступа к искомому приложению.
Способ 1. Нажмите на кнопку «Пуск» , расположенную в левом нижнем углу рабочего стола на «Панели задач» и откройте главное пользовательское меню «Windows» . В левой боковой панели нажмите на кнопку «Параметры» , представленную в виде шестеренки. Или в основном списке доступных приложений отыщите, при помощи колеса прокрутки компьютерной мыши или бегунка полосы прокрутки, и выберите раздел «Параметры» для вызова одноименного приложения.
Способ 2. Щелкните кнопку отображения панели «Центр уведомлений Windows» , расположенную на «Панели задач» в нижнем правом углу рабочего стола. Затем во всплывающей боковой панели выберите кнопку быстрого действия «Все параметры» для мгновенного отображения соответственного приложения.
Способ 3. Нажмите совместно комбинацию клавиш «Windows + I» для быстрого прямого перехода к приложению «Параметры» (наиболее легкий и простой способ).
Теперь в окне приложения выберите из доступных вариантов раздел «Сеть и Интернет» . Затем в левой боковой панели настроек перейдите в раздел «Использование данных» . Потом в правой панели окна в разделе «Обзор» нажмите на текстовую ссылку «Просмотр сведений об использовании отдельно для каждого приложения» .
Пользователям будет представлена новая страница, содержащая в табличной форме комбинированный отчет, включающий перечень приложений, использовавших сетевое подключение в течение последних тридцати дней, и, улучшающую визуальное восприятие, графическую шкалу с цифровым значением объема полученных и отправленных пакетов данных.
В разделе «Показать использование с» можно выбрать конкретный вид соединения, непосредственно с помощью кабеля или беспроводной способ передачи данных «Wi-Fi» . И ниже расположенный список будет отображать приложения, использовавшие установленный вид соединения ( «Ethernet» или «Wi-Fi» ).
Приложения будут упорядочены по величине числовых значений по убыванию, отображая в верхней части списка приложения с максимальными показателями, которые, вероятно, пользователи используют чаще всего. В конце списка будут представлены приложения, которые редко подключаются к «Интернету» или локальной сети, и не осуществляют получение или передачу большого количества данных.
Заключение
Персональные компьютерные устройства значительно упрощают пользователям исполнение ими собственных обязанностей, облегчают удаленное взаимодействие друг с другом и помогают автоматизировать многие процессы, связанные с созданием, обработкой, передачей и обменом информацией, а также упорядочивают за ней учет и контроль.
Компьютеры оснащаются продвинутыми суперсовременными комплектующими, которые позволяют использовать множество разнообразным мощных программных инструментов. Применяемые приложения не только отвечают за взаимодействие пользователей с информацией, но и обеспечивают доступ к значительным массивам данных, расположенный в сети.
Часто, приложения самостоятельно выходят как в международную сеть, так и контактируют с удаленными узлами по локальной сети. И в такой ситуации пользователям важно уметь определять список приложений, оказывающим влияние на пропускную способность сети, и получать подробные сведения о объеме входящего и исходящего потокового обмена данными. Применяя способы, представленные в данной статье, пользователи смогут вести учет всех приложений и собирать данные о полном использовании сетевых ресурсов, контролировать пропускную способность сети и полноценно реагировать на возможные действия запущенных процессов при необходимости.