Мне нужно зарегистрировать сводку всехвходящийTCP-подключения на сервере Windows 2008R2, но включая только исходный IP-адрес, исходный порт, IP-адрес назначения и порт назначения.
Я делаюнетхочу зарегистрировать полезную нагрузку и я это делаюнетхотите включить исходящие соединения или соединения, исходящие от самого хоста.
Я просто пытаюсь получить общую сводку всех входящих подключений за период в несколько дней, чтобы можно было сразу определить, что и откуда подключается к этому серверу.
Было бы неплохо видеть сводку, содержащую только одну строку для каждого уникального соединения (=комбинация SourceIP:Port -> DestIP:Port), но пока информацию можно регистрировать/экспортировать в формате CSV, я всегда буду делать это в Excel.
Первым инструментом, который я рассмотрел, был Wireshark, но я не вижу возможности не включать полезную нагрузку.
Я посмотрел Process Monitor, но не вижу, как отфильтровать исходящие соединения, а вывод не очень соответствует моим потребностям.
Наиболее подходящим решением, которое я нашел, является TcpLogView (NirSoft), но он не может отфильтровывать исходящие соединения или соединения, исходящие с локального сервера.
Есть ли инструмент, который может сделать то, что я ищу?
Спасибо.
решение1
В Wireshark (1.12.4 здесь): вы можете попробовать меню Статистика и использовать инструменты Разговоры или Конечные точки (что вам подходит), как только вы там, вы можете выбрать показ статистики подключений по всем или отображаемым пакетам по MAC, IP, TCP и т. д. Для экспорта в CSV в каждом диалоговом окне вы увидите кнопку Копировать. Это скопирует статистику, показанную в диалоговом окне, в буфер обмена в формате CSV, теперь вам просто нужно скопировать и вставить в Блокнот.
решение2
Я думаю, вы можете сделать то, о чем просите, включив ведение журнала в брандмауэре Windows: https://technet.microsoft.com/en-us/library/Cc947815%28v=WS.10%29.aspx#bkmk_Включить брандмауэр Windows и настроить поведение по умолчанию