Microsoft Port Reporter Tool

 
Summary

توسط این ابزار شما می توانید یک Service بر روی Windows 2003,XP,2000 نصب کنید که بصورت Real-time کلیه Port های باز سیستم

را Monitor کرده و Log کند

 

بر روی یک Windows 2003 Server می توان موارد زیر را Log کرد:

On Windows Server 2003 and on Windows XP-based computers,
the service can log the following information:
The ports that are used
The processes that use the port
Whether a process is a service
The modules that a process loaded
The user accounts that run a process
 

قبل از شروع شما می توانید این ابزار را از آدرسهای زیر Download کنید :

 
The Port Reporter tool is available from this link on the Microsoft Download Center:
Important The Port Reporter Parser tool is a log parser for Port Reporter log files.This tool is now available for download. Port Reporter Parser has many features that can help you analyze Port Reporter log files.
You can download the Port Reporter Parser tool from the following Microsoft web site:
http://download.microsoft.com/download/2/8/8/28810043-0e21-4004-89a3-2f477a74186f/PRParser.exe

در این بخش با Port Reporter Tool آشنا می شویم و سپس با ابزار Port Reporter Parser که یک ابزار کمکی برای Analyze کردن Log فایلهای

ایجاد شده توسط Port Reporter Tool می باشد آشنا می شویم .

 
  Install the Port Reporter Service

این نرم افزار را می توان از آدرس بالا Download کرد . بعد از نصب آن یک سرویس بنام

 

   

     Figure 1: Port Reporter Service

از زمانی که این سرویس Start شود در آدرس زیر Log file ها با تاریخ روز ایجاد می شوند.

   %systemroot%\System32\LogFiles\PortReporter

 

در زمان نصب PR-Setup.exe از شما یک سوال می شود که آیا در آدرس Program files نصب کند یا خیر در جواب Y را وارد می کنیم تا نصب شود .

   

     Figure 2: Port Reporter Setup

برای دادن آدرس متفاوت می توان از کلید زیر همانند مثال استفاده کرد .

     pr-setup.exe –d ‘d:\tools\port reporter'
Security

برای امنیت کامل این ابزار Microsoft مراحل زیر را توصیه می کند:

1. Install Port Reporter only on an NTFS file system partition
2. Adjust the Access Control List (ACLs) on the installation folder so that only the local Administrators group has access to the folder. To do this, follow these steps:
1. Start Windows Explorer, and then find the installation folder. By default, it is %SystemDrive%\Program Files\PortReporter.
2. Right-click on the folder, and then click Properties.
3. In the folder property dialog box, click the Security tab, and then inspect the group and user names that have access to the folder. Only the local Administrators group and the System account should have access to this folder
4. Select any other groups and users that are listed, and then click Remove. When the list contains only the local Administrators group and the System account, click Apply, and then click OK.
Size of Log Files

Log فایل هر 5MB یک Log جدید ایجاد می کند برای هر روز .شما می توانید توسط Start Parameter موجود بر روی Service این حجم را به 7MB تغییر

دهید همانند مثال زیر:

   

     Figure 3: Port Reporter Service - Start Parameters = -ls 7000

بعد از Start شدن Service یک Log با مشخصات زیر ایجاد می شود بر روی Application Event :

Type: Information
Source: PortReporter
Category: None
Event ID: 100
Description:
The Port Reporter service was started.

Type: Information
Source: PortReporter
Category: None
Event ID: 100
Description:
The Port Reporter service successfully created log files in the following directory:
PathOfLogFiles

 

برای Remove سرویس از سوئیچ u استفاده می شود :

pr-setup.exe -u

Interpret Port Reporter log files

این سرویس سه نوع Log ایجاد می کند و در سه حالت نیز Log File می سازد.

سه زمان را می توانید در جدول زیر مشاهده کنید :

Every time the Port Reporter service starts
At midnight each day.
When the log file reaches 5 MB or when the log file reaches the custom size that you specified in the start parameter.

 اما سه نوع فایلی که ایجاد می شود بعد از  Start  شدن سرویس مانند جدول زیر می باشد :

PR-INITIAL-*.log
PR-PORTS-*.log
PR-PIDS-*.log
 
PR-INITIAL File

این Log اطلاعات کاملی در مورد مواردی همچون Port , Process  را در اختیار Admin قرار می دهد این Log در زمان Start شدن سرویس ایجاد می شود

به تاریخ همان روز.

   

     Figure 4 PR-INITIAL Log File

PR-PORTS File

این Log اطلاعاتی در مورد TCP/UDP Port ها ی Active اطلاعات کاملی می دهد و اینکه کدام User از آنها استفاده می کند و...

همانند شکل زیر :

Port Reporter Version 1.0 Log File - Port usage log
Check PR-PIDS-04-01-24-8-49-30.log for corresponding process data
Log format:
date,time,protocol,local port,local IP address,remote port,remote IP address,PID,module,user context

04/1/24,8:52:21,TCP,4873,0.0.0.0,45070,0.0.0.0,664,iexplore.exe,<MYDOMAIN\user>
04/1/24,8:52:21,TCP,4873,169.254.66.8,80,63.208.107.43,664,iexplore.exe,<MYDOMAIN\user>
04/1/24,8:52:22,UDP,55441,169.254.66.8,*,*,3764,msmsgs.exe,<MYDOMAIN\user>
04/1/24,8:52:41,TCP,4874,0.0.0.0,4225,0.0.0.0,664,iexplore.exe,<MYDOMAIN\user>
04/1/24,8:52:41,TCP,4874,169.254.66.8,80,216.74.132.12,664,iexplore.exe,<MYDOMAIN\user>
4/1/24,21:36:2,TCP,2682,169.254.66.8,445,169.254.133.55,4,System,
04/1/24,21:51:2,TCP,2684,0.0.0.0,12390,0.0.0.0,4,System,
04/1/24,21:51:2,TCP,2684,169.254.66.8,445,169.254.133.55,4,System,
04/1/24,22:03:15,UDP,2686,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user>
04/1/24,22:03:15,UDP,2687,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user>
04/1/24,22:03:43,UDP,2688,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user>
04/1/24,22:04:9,TCP,2690,169.254.66.8,389,169.254.133.55,0,System Idle,
04/1/24,22:04:35,TCP,2691,0.0.0.0,18644,0.0.0.0,1260,svchost.exe
04/1/24,22:04:36,TCP,2691,169.254.66.8,80,169.254.133.55,1260,svchost.exe
04/1/24,22:04:36,UDP,2692,127.0.0.1,*,*,1260,svchost.exe,<NT AUTHORITY\NETWORK SERVICE>
04/1/24,22:04:37,TCP,2693,0.0.0.0,2160,0.0.0.0,1260,svchost.exe,<NT AUTHORITY\NETWORK SERVICE>
04/1/24,22:04:40,TCP,2693,169.254.66.8,80,169.254.133.55,1260,svchost.exe,<NT AUTHORITY\NETWORK SERVICE>
04/1/24,22:05:2,UDP,2697,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user>
04/1/24,22:06:2,TCP,2698,0.0.0.0,12390,0.0.0.0,4,System,
04/1/24,22:06:2,TCP,2698,169.254.66.8,445,169.254.133.55,4,System,
04/1/24,22:06:46,UDP,2700,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user>
04/1/24,22:06:47,UDP,2701,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user>
04/1/24,22:06:47,UDP,2702,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user

 
PR-PIDS File

در این Log شما می توانید ارتباط هر User با تک تک Process ها را بررسی کنید

 
 
Port Reporter Parser Tool

از این ابزار برای Analyze کردن بهتر Log File هایی که در بالا معرفی شد استفاده می شود

برای نمونه در پایین Log file که در قسمت PR-PORTS مثال زده شده را توسط این Tool مشاهده می کنیم .

  

   Figure 5 PR-PORTS Log File on Port Reporter Parser tool

 
 
 

MORE INFORMATION

To view a WebCast about Port Reporter, click the following Microsoft Knowledge Base article number: 840832  Support WebCast: Port Reporter

REFERENCES

PortQry version 2.0 is a related tool. This tool permits you to track activity on a single port or on all ports that are used by a specified process. For additional information about PortQry version 2.0, click the following article number to view the article in the Microsoft Knowledge Base:
832919 (http://support.microsoft.com/kb/832919/) New features and functionality in PortQry version 2.0
Important The PortQueryUI tool provides a graphical user interface and is available for download. PortQueryUI has several features that can make using PortQry easier. To obtain the PortQueryUI tool, visit the following Microsoft Web site: Important The Port Reporter Parser tool is a log parser for Port Reporter log files and is now available for download. Port Reporter Parser has many advanced features that can help analyze Port Reporter log files. To obtain the Port Reporter Parser tool, visit the following Microsoft Web site:

Last Updated: May 01, 2006

Winteacher.com
Expert Zone > Microsoft Port Reporter Tool

 © 2003-2006 Winteacher.com . All rights reserved