如何记录我计算机上的传出TCP连接?

7

我正试图找出导致活动目录帐户被锁定的问题。我认为如果可以将所有连接记录到2台特定服务器上,就可以弄清楚。

我想将所有传出的TCP连接(也可能是UDP)记录到服务器XY,以及启动连接的进程(PID,EXE路径和用于启动进程的完整命令)。我怎么做?

我尝试了TCPView,但这仅显示了当前的TCP连接。我想要过去15分钟的连接,即使它们已经死了。

windows-7  logging  tcpip 
凯洛蒂
source
最好在服务器上监视传入的请求,以防直到您被锁定之前无法登录的过程不是来自计算机。您是否已在DC上启用“登录审核”,以尝试找出登录失败的原因?
Ƭᴇcʜιᴇ007
@ techie007是的,但这是IT部门要做的。我没有这种访问权限。
kelloti
然后应该由IT部门来确定是什么使您无法使用。:)
Ƭᴇcʜιᴇ007

Answers:

8

我建议使用Process Monitor。它是由制作TCPView的同一人制作的,但是它显示的内容更多。它还允许您将信息记录到磁盘上,以便以后查看。

注意:该程序将需要打开并运行才能记录日志,但是如果将其设置为将日志记录时将日志保存到磁盘,则以后可以随时对其进行查看。

斯科特·张伯伦
source
2

Wireshark是一个不错的起点。它是一种功能广泛且用途广泛的工具。但是,一个不足之处是,过程信息永远不会经过NIC,这意味着它可能不适合您的特定要求。在此处查看有关可以做什么的一些建议。可能有用的另一个工具是netmon直接从M $获得。

丹尼尔公园
source
1
我认为所有这些都是不错的建议,但说实话,Process Monitor是最好的建议,因为它正是我在寻找OOTB的东西
kelloti 2013年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.