Packet Monitor (PktMon.exe): cómo usarlo en Windows 10

PktMon.exe ( Packet Monitor) es un nuevo analizador de red o herramienta de diagnóstico de red y monitoreo de paquetes. Al analizar y escuchar la red, los administradores pueden identificar vulnerabilidades en las aplicaciones o latencia en la propia red. Una herramienta muy útil para los administradores, ya que anteriormente en Windows 10 había que escuchar y analizar la red utilizando herramientas de terceros, que a su vez se podían pagar. Echemos un vistazo a cómo utilizar la herramienta Packet Monitor.

¿Qué puede hacer PktMon?

  • filter - Gestionar filtros de paquetes.
  • comp - Gestión de componentes registrados.
  • reset - Poner a cero los contadores.
  • start - Comience a monitorear paquetes.
  • stop - Deja de monitorear.
  • format - Convertir archivo de registro en texto.
  • unload - Descargue el controlador PktMon.

Ayuda completa al ingresar el comando pktmon help .

ayuda del filtro pktmon

Cómo usar PktMon para monitorear el tráfico de la red

Consideremos el siguiente ejemplo: 1) crear un filtro para la supervisión de puertos, 2) iniciar la supervisión, 3) exportar datos al registro.

Paso 1 . El comando pktmon filter add help nos mostrará una ayuda en la que descubriremos que podemos monitorear paquetes de Ethernet, IP, TCP y Encapsulación.

ayuda para agregar filtros de pktmon

Paso 2 . Después de leer la ayuda, supongamos que monitorearemos el puerto TCP: 49975. En mi ejemplo, este es el puerto del programa YandexDisk. Cree un filtro de paquetes con el comando pktmon filter add -p [port], donde -pestá el encabezado TCP / UDP.

  • pktmon filter add -p 49975- agregar un filtro.
  • pktmon filter list - si es necesario, vea la lista de puertos / filtros agregados.
  • pktmon filter remove - eliminar todos los filtros.

pktmon agregar filtro y lista de verificación

Paso 3 . Comencemos a monitorear los paquetes, que crearán un archivo de registro en la ubicación especificada. Tendrá que dejar de usar "detener" manualmente para detener el registro o terminará por sí solo después de reiniciar el sistema.

  • pktmon start --etw -p 0

monitorización de inicio de pktmon

Paso 4 . El archivo de registro se guarda en el archivo PktMon.ETL, que se puede convertir a un formato legible mediante el siguiente comando.

  • pktmon format PktMon.etl -o port-monitor-49975.txt
  • El archivo de registro estará en la ruta C: \ Windows \ System32, puede verlo en el bloc de notas.
  • Para una mejor comprensión, le aconsejo que utilice la utilidad Microsoft Network Monitor.

Exportar registro a formato legible

Nota importante : Microsoft comenzará a implementar soporte para monitoreo en tiempo real en Windows 10, versión 2004 .