Port Reporter

| | コメント(0) | トラックバック(0)

・837243 - Availability and description of the Port Reporter tool
http://support.microsoft.com/?id=837243
TCP/UDPポートの通信履歴を記録するサービスプログラム。

(2004/03/22 追記 ここから)

Windows Server 2003 および Windows XPベースのコンピュータでは、以下の情報が記録されます。
  • 使用されるポート
  • ポートを使用するプロセス
  • プロセスがサービスであるかどうか
  • プロセスによって読み込まれたモジュール
  • プロセスを実行するユーザー アカウント
Windows 2000 ベースのコンピュータでは、使用されるポートおよびそのポートが使用された日時が記録されます。
837243 - Port Reporter ツールの概要と入手方法

Windows2000で機能制限があるのが、残念なところ。
(2004/03/22 追記 ここまで)

あちこちで書かれてますが、日本語の震源地は「[Tool] Port Reporter (システム管理な雑記)」っぽいです。

Windows 2000 で使ってみました。

インストール

ダウンロードしたファイルを作業ディレクトリに解凍して、「pr-setup.exe」を実行してインストールします。

C:\Temp> pr-setup.exe
 
Port Reporter Setup
Setup will install Port Reporter in the following location on this system:
   C:\Program Files\PortReporter
Do you want to install Port Reporter? (Y/N)y
 
Creating PortReporter directory...completed successfully
Copying PortReporter.exe to target directory...completed successfully
Creating service...completed successfully
Creating registry key and values...completed successfully
 
Setup has successfully installed the Port Reporter service
The service is currently stopped and set to manual startup type
 
Please use the services applet in the control panel to configure
and start the Port Reporter service

インストール先を指定したい場合はこんな感じにするらしい。
「d:\tools\port reporter\」にインストールする例。

C:\Temp> pr-setup.exe -d 'd:\tools\port reporter\'

サービスにスタートアップの種類が「手動」で登録されます。

ログファイル

デフォルトのログファイル格納ディレクトリは「 %systemroot%\System32\LogFiles\PortReporter」です。

デフォルトの最大ログサイズは5MByte。
それを超えると新しいファイルを作成します。
1000 kByte から 102400 kByte までの間で設定できます。

デフォルト値を変更するには「開始パラメータ」にパラメータを書きます。

ログディレクトリを「c:\logs\portreporder」に、ログの最大サイズを「5000kB」にする場合は、「開始パラメータ」に「-ld 'c:\logs\portreporder' -ls 5000」を入力して、「開始」ボタンを押します。

Port Reporterのサービス

「OK」ボタンを押すと「開始パラメータ」の設定は消えてしまいます。
毎回、指定パラメータで起動したい場合はどうすれば良いんでしょうか?

レジストリエディタで
キー名:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PortReporter
名前:ImagePath
の「データ」(実行パス名でした)の後ろに「-ld 'c:\logs\portreporder' -ls 5000」と書いてみましたが、違ったようです。
サービスの「起動パラメータ」ってどこで設定するんでしょうか?

アンインストール

C:\Temp> pr-setup.exe -u
Port Reporter Setup
Setup does two things during uninstall:
  1. De-registers Port Reporter from the Service Control Manager database
  2. Deletes registry entries originally created by pr-setup.exe
     for Port Reporter
Setup leaves the installation directory intact
 
Do you really want to uninstall Port Reporter? (Y/N)y
 
Uninstalling Port Reporter service...
 
Deleting service...
   Stopping service...skipped...service currently not running
   Removing service...completed successfully
Deleting service...completed successfully
Deleting registry key and values...completed successfully
 
Setup successfully uninstalled the Port Reporter Service
The installation directory has been left intact

てことは、「pr-setup.exe」もインストール先ディレクトリにコピーしておいた方がいいかな?
アンインストールする時にまたダウンロードしてきてもいいけど。

PR-Parser (PortReporter Parser) (2004/10/09 追記)

PortReporterのログファイルを解析するGUIツール。

837243 - Port Reporter ツールの概要と入手方法」より入手可能です。

Port Reporter パーサー ツールは Port Reporter ログ ファイルのログパーサーです。このツールは現在ダウンロードにて入 手可能です。Port Reporter パーサーには Port Reporter ログファイルを解析するために役立つ多くの機能が含まれています 。次の Web サイトから Port Reporter パーサーを入手することができます。

http://download.microsoft.com/download/2/8/8/28810043-0e21-4004-89a3- 2f477a74186f/PRParser.exe
837243 - Port Reporter ツールの概要と入手方法

デフォルトのインストール先は「C:\Program Files\Microsoft\PR-Parser\」。

PortReporterのログファイル「PR-PORTS-*.log」を開きます。
ただし、今現在ログ中(書き込み中)のファイルは開けないみたい。

読み込むとグリッドが付いた形で表示されます。
並べ替え(ソート)もできます。

PR-Parser (PortReporter Parser)

○ 「Edit」>「Filter」>「Filter Data」
各種項目についてマッチする(orしない)行を抽出

○ 「Edit」>「Criteria settings」
モジュール、IPアドレス、ポート、ユーザアカウント、ホスト名などを「Criteria」に設定

○ 「Tools」>「Apply criteria」
登録しておいた「Criteria」にマッチするものを赤で表示します

○ 「Tools」>「Log analysis data」
「ローカルポートTCPポート」「プロセス」「リモートIPアドレス」「ユーザ名」「時間当たりの使用ポート」などの使用回数、割合をレポートします

○ 「Tools>「Resolve all remote IPs」
すべてのリモートIPアドレスの名前解決

○ レコードを右クリック
コンテキストメニューが表示されます。
プロセス名からMSN検索したり、Google検索したりできます。
リモートIPアドレスの名前解決やwhoisができます。
リモートIPアドレスに対してPortQryができます。

トラックバック(0)

このブログ記事を参照しているブログ一覧: Port Reporter

このブログ記事に対するトラックバックURL: http://kinshachi.ddo.jp/mt/mt-tb.cgi/227

コメントする


画像の中に見える文字を入力してください。

このブログ記事について

このページは、ikeが2004年3月19日 13:55に書いたブログ記事です。

ひとつ前のブログ記事は「Windows セキュリティ アップデート CD (2004 年 2 月)」です。

次のブログ記事は「パケットフィルタリング (win)」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

Powered by Movable Type 4.261