Главная » Linux

Процессы с сетевой активностью windows

Содержание
  1. Сетевая активность программ
  2. СЕТЕВАЯ АКТИВНОСТЬ
  3. Использование Монитора ресурсов (Resource Monitor): сеть
  4. Как отслеживать сетевую активность с помощью журналов Брандмауэра Windows
  5. Доступ к настройкам фаервола
  6. Доступ к настройкам журнала
  7. Активация журнала событий
  8. Изучение журналов
  9. Расширенная диагностика сети

Сетевая активность программ

Внезапные изменения в скорости вашего интернет-соединения могут быть результатом влияния нескольких различных факторов. Сюда входят такие факторы, как неисправности на стороне интернет-провайдера, неправильная работа модема, роутера и другого сетевого оборудования, а также повышенная сетевая активность программ.

Поэтому, если вы уверены, что проблемы с провайдером и оборудованием исключены, то стоит посмотреть на сам компьютер.

И первое, с чего стоит начать, это проверить интернет-активность программ, то-есть посмотреть какие приложения осуществляют подключение к интернету в данный момент. К нашему счастью, операционная система Windows имеет бесплатный встроенный инструмент, который поможет пользователю отследить повышенную сетевую активность приложений.

Чтобы убедиться в том, что никакие вредоносные приложения в фоновом режиме не используют ваше интернет-соединение, необходимо просто воспользоваться встроенным в операционную систему «Монитором ресурсов» («Windows Resource Manager»). Приступим!

ЗАПУСК МОНИТОРА РЕСУРСОВ . Самый быстрый способ, это нажмите на клавиатуре сочетание клавиш Win + R . Далее перейдите в «Пуск» — «Все программы» — «Стандартные» — «Выполнить», где в поле «Открыть» введите «RESMON» и нажмите кнопку «ОК».

СЕТЕВАЯ АКТИВНОСТЬ

В Мониторе ресурсов откройте вкладку «Сеть», где увидите все процессы с интернет-активностью, а именно:

  • название процесса (его исполняемый файл);
  • ИД (его идентификационный номер);
  • среднее количество байт в секунду полученных / отправленных с момента запуска программы.

Управлять процессом (приостановить / завершить) можно, правой кнопкой мышки вызвав контекстное меню на исполняемом файле необходимого процесса.

Если процесс (исполняемый файл) вам незнаком, при помощи того же контекстного меню и пункта «Поиск в Интернете» вы прочитаете о нём информацию.

Использование Монитора ресурсов (Resource Monitor): сеть

В предыдущих статьях цикла о Мониторе ресурсов Microsoft (Resource Monitor) я рассказывал, как с его помощью в режиме реального времени получать информацию о производительности дисковой подсистемы и загрузке процессора. В этой статье речь пойдет о различных показателях, касающихся состояния сетевого подключения. Я расскажу о назначении графиков, представленных в Мониторе ресурсов на вкладке «Сеть» (Network) и вкратце объясню, как пользоваться полученными сведениями.

Для удобства рассмотрения мы будем использовать скриншот Монитора ресурсов (рис. A), запущенного на производственном сервере под управлением Windows Server 2008 R2. На этом сервере установлен Exchange Server 2010 со всеми ролями, поэтому он активно использует сетевое подключение и нуждается в приемлемой пропускной способности. (Примечание: как и все другие наши серверы, этот работает в виртуальной машине на базе VMware vSphere 4.1).

Начнем с общего обзора консоли. Большую часть окна занимают статистические показатели, о которых я подробно расскажу ниже. Справа расположены графики, каждый из которых представляет один из важных показателей производительности сетевого подключения.

Ниже я подробно рассмотрю каждый показатель. Я не буду повторяться: если показатель присутствует в нескольких местах, я упомяну его только в первый раз.

Процессы с сетевой активностью

В разделе «Процессы с сетевой активностью» (Processes With Network Activity) перечислены все запущенные процессы, использующие сетевое подключение. В списке показано имя исполняемого файла и ряд связанных с ним статистических показателей.

Читайте также:  Windows 10 корпоративная ошибка активации

• «Образ» (Image) – имя исполняемого файла. Это имя процесса, активно использующего сетевое подключение.
• «ИД процесса» (PID) – идентификатор процесса. Может пригодиться для управления процессами с использованием других утилит или для поиска процессов в Диспетчере задач (Task Manager).
• «Отправлено (байт/с)» (Send (B/sec)) – среднее количество байтов в секунду, отправленное процессом по сети за последнюю минуту.
• «Получено (байт/с)» (Receive (B/sec)) – среднее количество байтов в секунду, полученное процессом по сети за последнюю минуту.
• «Всего (байт/с)» (Total (B/sec)) – средняя сетевая активность процесса в байтах в секунду за последнюю минуту.

Информация, которая приводится в этом разделе, не особенно актуальна для диагностики – она лишь позволяет выяснить, какие процессы потребляют больше всего сетевых ресурсов. На рис. A, например, можно заметить, что больше всего данных по сети получает процесс с именем «FSEContentScanner64.exe».

В разделе «Сетевая активность» (Network Activity) содержатся сведения, более полезные для диагностики. В частности, два индикатора рядом с заголовком предлагают самые актуальные, показательные сведения.

• «Сетевой ввод/вывод» (Network I/O) – показывает текущее суммарное потребление сетевых ресурсов в мегабитах в секунду (Мбит/с). Это уже полезно, но следующий индикатор предоставляет еще более ценные сведения.
• «Использование сети» (Network Utilization) – объединяет все сведения о суммарном потреблении сетевых ресурсов в виде единого понятного показателя, позволяющего оценить, насколько в действительности загружена сеть. Если этот показатель постоянно близок 100%, скорее всего, сеть перегружена и требуется повышение пропускной способности.

Ниже расположены следующие показатели:

• «Адрес» (Address) – имя или IP-адрес компьютера, с которым взаимодействует процесс.

Остальные показатели уже были описаны выше.

В разделе «TCP-подключения» (TCP-Connections) собраны следующие сведения:

• «Локальный адрес» (Local Address). Многие серверы используют сразу несколько сетевых адаптеров, каждому из которых может быть присвоено несколько IP-адресов. Сведения о локальном IP-адресе помогают определить, какой именно сетевой адаптер и какой IP-адрес сталкиваются с нехваткой пропускной способности.
• «Локальный порт» (Local Port). На компьютере могут быть запущены сервисы, использующие несколько портов TCP. Эта информация помогает определить, через какие порты происходит обмен данными.
• «Удаленный адрес» (Remote Address). Каждое локальное соединение должно каким-то образом взаимодействовать с удаленной системой. В этом столбце указан удаленный адрес второго участника обмена данными.
• «Удаленный порт» (Remote Port) – номер удаленного порта, через который происходит обмен данными.
• «Потерь пакетов (%)» (Packet Loss (%)) – ключевой показатель. Чем больше потерь пакетов, тем хуже качество соединения и тем менее эффективен обмен данными из-за необходимости повторной передачи.
• «Задержка (мс)» (Latency (ms)) – другой важный показатель. Задержка определяет, сколько времени требуется на передачу данных из пункта А в пункт Б. Чем выше задержка, тем больше времени отнимает передача данных. Высокая задержка может пагубно сказаться на качестве работы приложений, зависящих от сети, – например, при передаче потокового видео. Кроме того, высокая задержка создает трудности для конечных пользователей, которые, в свою очередь, увеличивают нагрузку на службу поддержки своими обращениями.

В разделе «Порты прослушивания» (Listening Ports) собраны следующие сведения:

• «Адрес» (Address). Некоторые службы специально привязаны к определенным локальным IP-адресам IPv4 или IPv6. Если адрес для службы не определен, в столбце сообщается: «[Версия протокола IP] не задан» ([IP version] unspecified).
• «Протокол» (Protocol) – TCP (Transmission Control Protocol, протокол управления передачей) или UDP (User Datagram Protocol, протокол пользовательских дейтаграмм). TCP – механизм гарантированной доставки, в то время как UDP не проверяет статус доставки.
• «Состояние брандмауэра» (Firewall Status). Если брандмауэр блокирует сетевой трафик, это будет указано в данном столбце.

Читайте также:  Keygen ключей активации windows

Графики – очень полезный инструмент. График «Сеть» (Network) показывает используемую пропускную способность сети для всех соединений за последние 60 секунд. График «TCP-подключения» (TCP Connections) показывает, сколько новых TCP-подключений было создано. Ненормально большое количество новых TCP-подключений может свидетельствовать о наличии неконтролируемого процесса, шпионской программы или каких-либо других проблем. График «Подключение по локальной сети» (Local Area Connection) показывает общее потребление сетевых ресурсов в процентах. Как видно на рис. A, в данный момент наш сервер использует минимум ресурсов сети.

Современные суперскоростные сети помогли решить массу проблем, связанных с сетевыми подключениями, но эти проблемы не исчезли окончательно. Сведения, представленные в этой статье, помогут вам более эффективно использовать Монитор ресурсов для диагностики и устранения сетевых неполадок.

Как отслеживать сетевую активность с помощью журналов Брандмауэра Windows

Если вы пользуетесь системой Windows, то скорее всего знаете о на наличии в ней встроенного брандмауэра. Возможно вы также умеете разрешать и блокировать доступ отдельных программ в сеть, чтобы контролировать входящий и исходящий трафик. Но знаете ли вы, что фаервол Windows может быть использован для регистрации всех проходящих через него соединений?

Журналы Брандмауэра Windows могут быть полезны при решении отдельных проблем:

  • Используемая программа не может подключиться к Интернету, несмотря на то, что с другими приложениями эта проблема не наблюдается. В данном случае для устранения неисправности следует проверить, не блокирует ли системный фаервол запросы данной программы на подключение.
  • Вы подозреваете, что компьютер используется для передачи данных вредоносной программой и хотите провести мониторинг исходящего трафика на предмет подозрительных запросов подключения.
  • Вы создали новые правила разрешения и блокировки доступа и хотите убедиться, что фаервол корректно обрабатывает заданные инструкции.

Независимо от причин использования, включение протоколирования событий может быть сложной задачей, так как требует многих манипуляций с настройками. Приведем четкий алгоритм действий, как активировать регистрацию сетевой активности в фаерволе Windows.

Доступ к настройкам фаервола

Во-первых, нужно перейти к расширенным настройкам брандмауэра Windows. Откройте панель управления (клик правой кнопкой мыши по меню Пуск, опция “Панель управления”), затем нажмите ссылку “Брандмауэр Windows”, если стоит режим просмотра мелкие/крупные значки, либо выберите раздел “Система и безопасность”, а затем “Брандмауэр Windows”, если стоит режим просмотра категория.

В окне фаервола выберите опцию в левом навигационном меню “Дополнительные параметры”.

Вы увидите следующий экран настроек:

Это внутренняя техническая сторона брандмауэра Windows. Данный интерфейс позволяет разрешать или блокировать доступ программ в Интернет, настраивать входящие и исходящий трафик. Кроме того, именно здесь можно активировать функцию регистрации событий — хотя не сразу понятно, где это можно сделать.

Доступ к настройкам журнала

Во-первых, выберите опцию “Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)”.

Кликните правой кнопкой мыши по ней и выберите опцию “Свойства”.

Откроется окно, которое может запутать пользователя. При выборе трех вкладок (Профиль домена, Частный профиль, Общий профиль) можно заметить, что их содержимое идентично, но относится к трем различным профилям, название которых указано в заголовке вкладки. На вкладке каждого профиля содержится кнопка настройки ведения журнала. Каждый журнал будет соответствовать отдельному профилю, но какой профиль используете вы?

Читайте также:  Windows server синий экран при установке windows

Рассмотрим, что означает каждый профиль:

  • Профиль домена используется для подключения к беспроводной сети Wi-Fi, когда домен задается контроллером домена. Если вы не уверены, что это значит, лучше не используйте данный профиль.
  • Частный профиль используется для подключения к частным сетям, включая домашние или персональные сети — именно данный профиль вы скорее всего будете использовать.
  • Общий профиль используется для подключения к общественным сетям, включая сети ресторанов, аэропортов, библиотек и других учреждений.

Если вы используете компьютер в домашней сети, перейдите на вкладку “Частный профиль”. Если используется публичная сеть, перейдите на вкладку “Общий профиль”. Нажмите кнопку “Настроить” в секции “Ведение журнала” на корректной вкладке.

Активация журнала событий

В открывшемся окне вы можете настроить расположение и максимальный размер журнала. Можно задать легко запоминающееся место для лога, но на самом деле локация файла журнала не имеет особо значения. Если вы хотите запустить регистрацию событий, в обоих выпадающих меню “Записывать пропущенные пакеты” и “Записывать успешные подключения” установите значение “Да” и нажмите кнопку “ОК”. Постоянная работа функции может привести к проблемам производительности, поэтому активируйте ее только когда действительно нужно выполнить мониторинг подключений. Для отключения функции логирования установите значение “Нет (по умолчанию)” в обоих выпадающих меню.

Изучение журналов

Теперь компьютер будет фиксировать сетевую активность, контролируемую фаерволом. Для того, чтобы просмотреть логи, перейдите в окно “Дополнительные параметры”, выберите опцию “Наблюдение” в левом списке, а затем в секции “Параметры ведения журнала” кликните ссылку “Имя файла”.

Затем откроется журнал сетевой активности. Содержимое журнала может запутать неопытного пользователя. Рассмотрим основное содержимое записей журнала:

  1. Дата и время подключения.
  2. Что произошло с подключением. Статус “ALLOW” означает, что фаервол разрешил подключение, а статус “DROP” показывает, что подключение было заблокировано фаерволом. Если вы столкнулись с проблемами подключения к сети отдельной программы, то сможете точно определить, что причина проблемы связана с политикой брандмауэра.
  3. Тип подключения — TCP или UDP.
  4. По порядку: IP-адрес источника подключения (компьютера), IP-адрес получателя (например, веб-страницы) и используемый на компьютере сетевой порт. Данная запись позволяет выявлять порты, которые требуют открытия для работы ПО. Также следите за подозрительными подключениями — они могут быть совершены вредоносными программами.
  5. Был ли успешно отправлен или получен пакет данных.

Информация в журнале поможет выяснить причину проблем подключения. Журналы могут регистрировать и другую активность, например, целевой порт или номер подтверждения TCP. Если вам нужны подробности, ознакомьтесь со строкой “#Fields” в верхней части лога, чтобы идентифицировать значение каждого показателя.

Не забудьте отключить функцию ведения журнала после завершения работы.

Расширенная диагностика сети

С помощью использования журнала брандмауэра Windows, вы можете проанализировать типы данных, обрабатываемых на компьютере. Кроме того, можно установить причины проблем с сетью, связанные с работой фаервола или другими объектами, нарушающими соединения. Журнал активности позволяет ознакомиться с работой фаервола и получить четкое представление о происходящем в сети.

Оцените статью
© 2024 Советы по настройке компьютера