你能告诉我一个Windows 2008 R2的networkingstream量logging器吗? 它预计将作为服务执行,并收集简单的数据“源IP /端口,目标IP /端口,数据包大小”。 我试图用Winsock AFD提供程序来使用ETW跟踪,但是它产生了大量的数据,丢失了很多数据包,并且很难分析结果ETL日志文件。
Wireshark可以从命令行启动。 然后,您只需创build一个计划任务,在启动时启动它。
wireshark的命令行参数: http : //www.wireshark.org/docs/wsug_html_chunked/ChCustCommandLine.html
否则,您也可以通过另一个端口上的交换机进行端口镜像来收集数据。
根据networkingstream量如何完成,您可以使用Sysinternals的进程监视器 。 它可以logging直接启动后的活动(工具选项)。 networkingstream量logging如果使用Windows API。 确保“放弃过滤的条目”,并只loggingnetworking。
当你再次启动该工具时,它会检测到它并要求检索logging的条目。
我知道的最好的产品是Microsoftnetworking监视器。 这是免费下载,由微软高度扩展/维护。 我已经使用了其他的大部分,但是当我需要完成某些事情时,我总是会回头看看这个。
Codeplex上还有额外的parsing器,但内置的东西非常强大。
networking监视器博客网站
下载链接
你看过netmon吗? ETW将提供大量数据,但不应丢弃数据包。