Требуется писать лог за час, сутки, неделю. Чтобы в логе указывался поля: 1- Имя исполняемого файла 2- Путь к файлу 3- Адрес IP источника 4- Порт источника 5- Адрес IP назначения 6- Порт назначения 7- Протокол 8- Дата и время
Ищу утилиту, которая это сможет сделать. Желательно и на 2003 и на 2008 чтобы работала.
Команда типа «netstat -b -n» что то показывает, но не понятно как сделать запись за период, например 1 час или 24 часа. И еще запись идет в две строчки, а хотелось бы обычный CSV.
Например если бу не винда, то можно было бы написать что-то типа iptables -A ! -d 192.168.0/24 -j LOG —log-prefix «SuperLogOut: » Чтобы записать все пакеты во вне. Но тут бы я пролетел с процессами (приложениями). Их тоже нужно обязательно логировать.
Задача такая. Нужно писать лог в котором будут отражаться вся сетевая активность не связанная с локальной сетью.
Может кто подскажет как запустить netstat правильно или другую какую программку? Желательно чтобы работало и на 2003 и на 2008.
Добавлено: Наверное можно запускать скриптом два процесса c netstat -b -n -t 65 > c:\ _v1.txt netstat -b -n -t 65 > c:\ _v2.txt
С разницей в минуту. А потом парсить и объединять логи вытаскивая время из имени файла. Почему два? Нужно фиксировать время, а нетстат его не пишет в лог. И нужно не пропустить процесс который куда то ломится, пусть лучше задвоится — это можно убрать при парсинге.
Не могу найти пока красивого решения. Неужели нет такой утилитки?
Всего записей: 37 | Зарегистр. 04-10-2007 | Отправлено:20:28 23-12-2014
Globalizator
Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору как вариант использовать WireShark или любой персональный файрволл с хорошим логированием
Всего записей: 214 | Зарегистр. 06-11-2003 | Отправлено:09:51 24-12-2014
lol2007
Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Не у каждого файрвола можно нормально настроить логи. Пока только панда более-менее подошел.
Пришлось на коленке писать ан незнакомом мне павершеле http://myfolder.ru/files/42615386 Скрипты разархивировать в папку.
Запускать либо StartInteractive_v1 , либо StartInteractive_v2 Отличаются принципом сбора: первый раз в 10 секунд запускает нетстат и сразу парсит результат, повторяет. Второй запускает нетстат ежесекундно на протяжении 20 сек и записывает все в файл. Затем парсит полученное. Повторяет.
CSV файлы результата кладутся в папку DATA. Там два типа файлов: за сутки и за каждый час. Строки внутри файла уникальны по совокупности полей. В суточном убраны исходящие порты потому как нефиг засорять.
В скриптах Func1 и Func1f нужно поправить переменную под свою локалку. Иначе разгребать потом 100 лет локальный траффик.
Большой объем не потянет, но отследить врага на сервере, который не должен лезть в инет, вполне подойдет. Отключайте IPv6 через GpEdit.msc если не уверены что знаете как его настраивать.
Ногами не пинайте — это первый скрипт мой на павершеле.
Ктохочет красоты — велкам. И дарю для издевательсв.
Может кто уже работал с подобной задачей и знает конкретно какой софт может писать логи такие чтоб было видно экзешник и куда ломится наружу?
Windows логи сетевой активности
В данном разделе представлены рекомендации по работе с программами для сбора логов. Данная информация необходима службе технической поддержки для точной диагностики проблемы на рабочем месте пользователя. Ниже доступны инструкции для приложений.
Сбор логов https с помощью FiddlerCap
Установка FiddlerCap
Необходимо скачать и запустить приложение FiddlerCap.
В открывшемся окне нажать на кнопку «Install». В строке Destination Folder будет указан путь до папки, в которую установится FiddlerCap. По умолчанию там указывается Рабочий стол.
Дождаться окончания установки и нажать кнопку «Close».
Сбор логов с помощью FiddlerCap
Найти папку FiddlerCap в той директории, которая была выбрана на этапе установки. По умолчанию FiddlerCap устанавливается на Рабочий стол. В папке FiddlerCap запустить файл «FiddlerCap.exe».
В пункте «Настройки захвата» установить три галки:
сохранять двоичные данные,
расшифровать HTTPS трафик,
хранить куки и POST формы.
Если появится предупреждение об установке сертификата, то в нем следует нажать кнопку «Да». При необходимости, сертификат будет предложено удалить при сохранении логов.
Закрыть все браузеры, открытые на компьютере. Нажать на кнопку «Начать захват». Открыть программу, при работе с которой появляется ошибка (например, Контур.Экстерн), и воспроизвести ошибку.
После того, как ошибка будет воспроизведена, необходимо нажать на кнопку «Остановить захват» в окне программы FiddlerCap. Логирование завершится.
Далее следует нажать на кнопку «Сохранить данные захвата».
Выбрать папку для сохранения.
Файл с логами будет сохранен в выбранной папке.
При сохранении логов появится окно с вопросом об удалении сертификата из корневого хранилища. На усмотрение пользователя можно выбрать любой вариант.
Запись сетевого трафика в Internet Explorer
Для записи сетевого трафика в Internet Explorer необходимо открыть необходимую страницу в Internet Explorer. В Internet Explorer перейти в меню «Сервис» > «Средства разработчика F12» («Tools» > «Developer Tools F12») либо нажать на клавиатуре клавишу F12 .
Если меню «Сервис» не отображается, то нажать клавишу «Alt» на клавиатуре .
Перейти на вкладку «Сеть (Network)» > «Ctrl+4». Включить сбор сетевого трафика: в Internet Explorer 9 нажать «Начать сбор». В Internet Explorer 11 нажать на кнопку с з еленым треугольником.
Воспроизвести ошибку (например, обновить страницу, либо перейти по нужной ссылке). Сохранить собранный лог, нажав на изображение дискеты.
В ыбрать папку для сохранения, ввести имя файла, нажа ть «Сохранить». Файл будет создан в xml формате. Создание лога завершено.
Запись сетевого трафика в Mozilla Firefox
Для записи сетевого трафика в Mozilla Firefox необходимо открыть необходимую страницу в Mozilla Firefox. В IMozilla Firefox перейти в меню «Сервис» > «Разработка» > «Средства разработчика ( Ctrl + Shift + I) либо нажать на клавиатуре клавишу F12 .
Перейти на вкладку «Сеть» и обновите страницу, нажав на клавиатуре клавишу F5 . Воспроизведите ошибку.
Выделите любую запись из лога — нажмите по нему правой кнопкой мыши и нажмите на «Сохранить все как HAR».
Выберите папку для сохранения, введите имя файла, нажмите на сохранить. Файл будет сохранен в формате har.
Запись сетевого трафика в Google Chrome
Для записи сетевого трафика в Google Chrome необходимо открыть необходимую страницу в Google Chrome. В Google Chrome перейти в меню «Сервис» > «Дополнительные инструменты» >«Средства разработчика ( Ctrl + Shift + I) либо нажать на клавиатуре клавишу F12 .
Передите в раздел Network и обновите страницу, нажав на клавиатуре клавишу F5 . Воспроизведите ошибку.
Если запись логов не началась автоматически, нажмите на кнопку «Record Network Log».
Выделите любую запись из лога, нажмите по нему правой кнопкой мыши и нажмите на «Save as HAR with content».
Выберите папку для сохранения, введите имя файла, нажмите на сохранить. Файл будет сохранен в формате har.
Microsoft Network Monitor
Установка
Необходимо скач ать и запустить приложение Microsoft Network Monitor. На предложение начать установку следует ответить утвердительно, нажав на кнопку «Да».
В открывшемся окне нажать на кнопку «Next».
В следующем окне необходимо установить переключатель «I accept the terms in the Licence Agreement» и кликнуть по кнопке «Next».
Выбрать тип установки «Typical».
Отметить пункт «Create shortcut for Microsoft Network Monitor on the desktop» (Создать ярлык на рабочем столе) и нажать на кнопку «Install».
Нажать на кнопку «Finish» для завершения установки.
После окончания установки необходимо дождаться окончания автоматической настройки компонента Microsoft Network Monitior 3.4 Parsers.
Запуск логирования
Закрыть неиспользуемое программное обеспечение (это необходимо для исключения сохранения в лог активности сторонних продуктов). Запустить программу с помощью ярлыка на рабочем столе.
В главном окне программы выбрать меню «File» > «New» > «Capture».
Нажать на кнопку «Start», после чего свернуть программу и воспроизвести ошибку.
Воспроизвести ошибку, нажать на кнопку «Stop».
В ыбрать меню «File» > «Save As», указать каталог для сохранения и имя файла и нажать на кнопку «Сохранить». Создание лога завершено.
Process Monitor
Чтобы начать логирование при помощи программы Process Monitor, необходимо выполнить следующие шаги:
Закрыть неиспользуемое программное обеспечение (это необходимо для исключения сохранения в лог активности сторонних продуктов), скач ать и запустить приложение Process Monitor .
После запуска программы выбрать меню «File» > «Capture Events». Логирование будет остановлено. Выбрать меню «Edit» > «Clear Display». Автоматически записанный лог будет удален. Программа готова к работе.
Выбрать меню «File» > «Capture Events». Логирование будет запущено. Свернуть приложение и воспроизвести ошибку.
Восстановить приложение и выбрать меню «File» > «Capture Events». Логирование будет остановлено. Выбрать меню «File» > «Save». Установить переключатель «All Events».
Кликнуть по кнопке с тремя точками справа от поля «Path», указать папку для сохранения и имя файла (рекомендуется оставить по умолчанию) и нажать на кнопку «Сохранить».
В окне параметров сохранения файла нажать на кнопку «Сохранить». Создание лога завершено.
Сбор логов с помощью WireShark
Необходимо скачать и запустить приложение WireShark.
Выбрать сетевой интерфейс, с которого необходимо собрать логи.
Далее необходимо нажать на Начать захват пакетов.
Воспроизвести проблему и нажать на Остановить захват пакетов.
Выбрать пункт Файл/Сохранить как. и сохранить логи в формате по умолчанию.
