Disponibilité et description de l'outil Port Reporter

Traductions disponibles Traductions disponibles
Numéro d'article: 837243 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article traite de l'outil Port Reporter. L'outil Port Reporter s'exécute en tant que service sur un ordinateur Windows Server 2003, Windows XP ou Windows 2000. Il enregistre les activités des ports TCP et UDP. Cet article contient des informations sur la façon d'obtenir et d'installer l'outil. Lorsque vous exécutez le programme d'installation pour installer l'outil, il crée les entrées appropriées dans le Registre et installe le service Port Reporter.

Cet article contient également des informations sur la façon d'utiliser des paramètres de départ pour configurer le service Port Reporter et des informations sur les fichiers journaux Port Reporter générés par le service Port Reporter.

INTRODUCTION

Cet article contient des informations sur la façon d'obtenir, d'installer et de configurer l'outil Port Reporter. Port Reporter est un outil qui permet d'enregistrer des données sur les ports TCP/IP sur les ordinateurs Microsoft Windows Server 2003, Microsoft Windows XP ou Microsoft Windows 2000.

Vue d'ensemble

L'outil Port Reporter enregistre l'activité des ports TCP et UDP. Il s'agit d'un petit programme qui s'exécute en tant que service sur un ordinateur Windows Server 2003, Windows XP ou Windows 2000.

Sur les ordinateurs Windows Server 2003 et Windows XP, le service peut enregistrer les informations suivantes :
  • les ports utilisés ;
  • les processus qui utilisent le port ;
  • si un processus est un service ;
  • les modules chargés par un processus ;
  • les comptes d'utilisateurs qui exécutent un processus.
Sur les ordinateurs Windows 2000, le service enregistre les ports utilisés et les horaires d'utilisation de ces ports.

Vous pouvez vous aider des informations enregistrées par l'outil Port Reporter pour assurer le suivi de l'utilisation des ports et résoudre certains problèmes. Les informations enregistrées par l'outil Port Reporter peuvent également être utiles à des fins de sécurité.

Obtention de l'outil Port Reporter

Pour obtenir l'outil Port Reporter, reportez-vous au Centre de téléchargement Microsoft à l'adresse suivante (en anglais) :
http://www.microsoft.com/downloads/details.aspx?familyid=69ba779b-bae9-4243-b9d6-63e62b4bcd2e&displaylang=en


Important L'outil Port Reporter Parser analyse les fichiers journaux de Port Reporter. Vous pouvez désormais le télécharger. De nombreuses fonctionnalités de Port Reporter Parser vous aideront à analyser les fichiers journaux de Port Reporter. Pour télécharger l'outil Port Reporter Parser, reportez-vous au site Web Microsoft suivant :
http://download.microsoft.com/download/2/8/8/28810043-0e21-4004-89a3-2f477a74186f/PRParser.exe

Installation du service Port Reporter

Lorsque vous exécutez le programme d'installation (Pr-Setup.exe) pour installer Port Reporter, il effectue les opérations suivantes :
  • Ajout de la sous-clé de Registre suivante au Registre de Windows :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\PortReporter
    Le service Port Reporter requiert cette clé de Registre afin de consigner les entrées dans le journal d'événements d'applications de l'ordinateur.
  • Installation du service Port Reporter.

    Le programme d'installation crée un objet de service pour l'outil Port Reporter, puis il ajoute l'objet à la base de données du Gestionnaire de contrôle des services.

Installation du service Port Reporter à l'emplacement par défaut

Par défaut, le service Port Reporter est installé dans le dossier suivant sur le disque dur :
lecteur:\Program Files\PortReporter
Pour installer le service Port Reporter à l'emplacement par défaut :
  1. Ouvrez une session sur l'ordinateur en tant que membre du groupe Administrateurs local.
  2. Quittez tous les programmes qui s'exécutent sur l'ordinateur, y compris l'outil Services et l'Observateur d'événements dans Outils d'administration.
  3. Double-cliquez sur Pr-Setup.exe pour exécuter le programme d'installation.
  4. Lorsque vous êtes invité à installer l'outil Port Reporter dans le dossier Program Files, appuyez sur Y.

    Après que vous avez appuyé sur Y, le programme d'installation crée un sous-dossier nommé PortReporter dans le dossier Program Files. Portreporter.exe est copié dans le sous-dossier et enregistré en tant que service dans le Gestionnaire de contrôle des services.

Installation du service Port Reporter dans un emplacement différent de l'emplacement par défaut

Pour installer le service Port Reporter dans un emplacement différent de l'emplacement par défaut :
  1. Ouvrez une session sur l'ordinateur en tant que membre du groupe Administrateurs local.
  2. Quittez tous les programmes qui s'exécutent sur l'ordinateur, y compris l'outil Services et l'Observateur d'événements dans Outils d'administration.
  3. Copiez le fichier Pr-setup.exe et le fichier Portreporter.exe dans le dossier dans lequel vous souhaitez installer l'outil Port Reporter.

    Remarque Vous devez exécuter le programme d'installation à partir d'un lecteur local fixe. Vous ne pouvez pas exécuter le programme d'installation à partir d'un lecteur réseau ni d'un lecteur de CD-ROM.
  4. À l'invite, tapez la ligne suivante, puis appuyez sur ENTRÉE, où chemin_dossier correspond au lecteur et au chemin d'accès du dossier qui contient les fichiers Pr-setup.exe et Portreporter.exe :
    pr-setup.exe -d 'chemin_dossier'
    Par exemple, pour installer l'outil dans le dossier D:\Outils\Port Reporter, tapez
    pr-setup.exe ?d ?d:\Outils\port reporter\?
    La fenêtre d'invite de commandes affiche un résultat semblable au suivant :
    C:\temp>pr-setup.exe -d 'chemin_dossier'
    
    Installing Port Reporter service: chemin_dossier
    
    Creating service...completed successfully
    
    Creating registry key and values...completed successfully
    
    Setup has successfully installed the Port Reporter service The service is currently stopped and set to manual startup type
    
    Please use the services applet in the control panel to configure and start the Port Reporter service
    
    
    press any key to exit setup
  5. Appuyez sur une touche pour quitter le programme d'installation.

Configuration et démarrage du service Port Reporter

Pour vérifier que le service Port Reporter a été installé correctement et pour le démarrer, procédez comme suit :
  1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Gérer.
  2. Développez Services et applications, puis développez Services.
  3. Dans le volet droit, vérifiez que le service Port Reporter est répertorié.
  4. Pour démarrer le service, double-cliquez sur le nom du service, puis cliquez sur le bouton Démarrer. Cliquez sur OK.

    Le service Port Reporter crée alors une entrée dans le journal d'application signalant qu'il a démarré.
Par défaut, le type de démarrage du service Port Reporter est configuré pour utiliser le paramètre Manuel Si vous souhaitez que le service démarre automatiquement au démarrage de Windows, configurez le type de démarrage de façon à utiliser le paramètre Automatique.

Par défaut, le service Port Reporter utilise le compte Système local pour se connecter à l'ordinateur. L'utilisation du compte Système local permet au service Port Reporter de rassembler des détails à propos de processus auxquels le compte d'administrateur ou d'autres comptes d'utilisateurs n'ont pas accès. C'est pourquoi Microsoft vous recommande de ne pas modifier ce paramètre.

Remarque Ce service s'exécutant dans le contexte du compte Système local, Microsoft vous conseille de sécuriser le dossier où Port Reporter est installé. Que vous installiez Port Reporter dans son emplacement par défaut (%SystemDrive%\Program Files\PortReporter) ou dans un emplacement personnalisé, vous devez effectuer les tâches suivantes :
  • Installez Port Reporter uniquement sur une partition de système de fichiers NTFS
  • Ajustez les listes de contrôle d'accès sur le dossier d'installation pour que seul le groupe Administrateurs local ait accès au dossier. Pour cela, procédez comme suit :
    1. Démarrez l'Explorateur Windows, puis recherchez le dossier d'installation. Par défaut, le chemin d'accès à ce dossier est %SystemDrive%\Program Files\PortReporter.
    2. Cliquez avec le bouton droit sur le dossier, puis cliquez sur Propriétés.
    3. Dans la boîte de dialogue des propriétés du dossier, cliquez sur l'onglet Sécurité, puis vérifiez le groupe et les noms d'utilisateurs qui ont accès au dossier. Seuls le groupe Administrateurs local et le compte Système doivent avoir accès à ce dossier.
    4. Sélectionnez tous les autres groupes et utilisateurs répertoriés, puis cliquez sur Supprimer. Lorsque la liste ne contient plus que le groupe Administrateurs local et le compte Système, cliquez sur Appliquer, puis sur OK.

Emplacement des fichiers journaux

Par défaut, l'outil Port Reporter essaie de créer les fichiers journaux dans le dossier suivant :
%systemroot%\System32\LogFiles\PortReporter
Si ce dossier n'existe pas déjà, il est créé pour vous. Vous pouvez configurer l'emplacement des fichiers journaux en utilisant le paramètre de démarrage spécifié sous l'onglet Général de la boîte de dialogue du service Port Reporter. Pour spécifier le dossier des fichiers journaux, utilisez l'option de ligne de commande -ld suivie du nom du dossier à utiliser. Assurez-vous de placer le nom du dossier entre guillemets simples ('). Par exemple, si vous spécifiez le paramètre de démarrage suivant, le service Port Reporter crée des fichiers journaux dans le dossier C:\Program Files\Port Reporter au démarrage du service Port Reporter :
-ld ?c:\program files\port reporter?

Taille des fichiers journaux

Par défaut, le service Port Reporter continue d'écrire dans les fichiers journaux jusqu'à ce que leur taille atteigne 5 mégaoctets (Mo). Une fois cette taille atteinte, un nouveau fichier journal est créé. Pour configurer la taille des fichiers journaux, utilisez l'option de ligne de commande -ls. Vous pouvez spécifier une taille comprise entre 1 000 kilo-octets (Ko) et 102 400 Ko. Par exemple, si vous spécifiez le paramètre de démarrage suivant, le service Port Reporter crée un fichier journal à chaque fois que la taille des fichiers journaux atteint 7 000 Ko :
-ls 7000
Démarrez le service Port Reporter après l'avoir configuré avec les paramètres de démarrage souhaités. Au démarrage du service Port Reporter, les deux événements suivants sont enregistrés dans le journal d'événements d'applications :
Type : Informations
Source : PortReporter
Catégorie : Aucune
ID de l'événement : 100
Description :
The Port Reporter service was started.
Type : Informations
Source : PortReporter
Catégorie : Aucune
ID de l'événement : 100
Description :
The Port Reporter service successfully created log files in the following directory: chemin_fichiers_journaux

Suppression du service Port Reporter

Pour supprimer le service Port Reporter, tapez la ligne suivante à l'invite de commandes, puis appuyez sur ENTRÉE :
pr-setup.exe -u
La fenêtre d'invite de commandes affiche un résultat semblable au suivant :
Uninstalling Port Reporter service...

Deleting service... Stopping service...completed successfully

   Removing service...completed successfully

Deleting service...completed successfully

Deleting registry key and values...completed successfully


Setup successfully uninstalled the Port Reporter Service The installation directory has been left intact


press any key to exit setup 
Lorsque vous supprimez le service Port Reporter, le programme d'installation effectue les opérations suivantes :
  • Désinscription du service Port Reporter de la base de données du Gestionnaire de contrôle des services.
  • Suppression des entrées de Registre créées lors de l'installation du service Port Reporter.
Lorsque vous supprimez le service Port Reporter, le programme d'installation ne supprime ni le dossier contenant les fichiers Pr-setup.exe et PortReporter.exe, ni les fichiers journaux créés par le service.

Interprétation des fichiers journaux Port Reporter

Le service Port Reporter crée des fichiers journaux dans les circonstances suivantes :
  • à chaque démarrage du service Port Reporter ;
  • à minuit chaque jour ;
  • lorsque la taille du fichier journal atteint 5 Mo ou la valeur spécifiée dans le paramètre de démarrage.
Lorsque le service Port Reporter démarre, les fichiers journaux suivants sont créés :
  • PR-INITIAL-*.log
  • PR-PORTS-*.log
  • PR-PIDS-*.log
Le nom de chaque fichier journal utilise la date et l'heure (au format de 24 heures) de création du fichier. Les informations de date et d'heure sont au format année-mois-jour-heure-minute-seconde. Par exemple, les trois fichiers suivants ont été créés le 24 janvier 2004 à 08:49:30 :
  • PR-INITIAL-04-01-24-8-49-30.log
  • PR-PORTS-04-01-24-8-49-30.log
  • PR-PIDS-04-01-24-8-49-30.log

Le fichier journal PR-INITIAL

Le fichier journal PR-INITIAL contient des données recueillies par le service Port Reporter à propos des ports, des processus et des modules qui s'exécutent sur l'ordinateur au démarrage du service Port Reporter. Le contexte de l'utilisateur sous lequel s'exécute chaque processus est également enregistré. Voici un exemple de contenu, sur un ordinateur Windows XP, d'un fichier PR-INITIAL créé lors du démarrage du service Port Reporter :
Port Reporter Version 1.0 Log File

Service initialization log

System Date: <Date et heure>


Local computer name:

 <ComputerName>

TCP/UDP Port to Process Mappings at service start-up

36 mappings found

PID:Process		Port		Local IP	State		 Remote IP:Port 0:System Idle		TCP 4857  	169.254.66.8 	TIME WAIT	 169.254.44.123:80 4:System		TCP 445  	0.0.0.0 	LISTENING	 0.0.0.0:6246 4:System		TCP 1026  	0.0.0.0 	LISTENING	 0.0.0.0:28726 4:System		TCP 139  	169.254.66.8 	LISTENING	 0.0.0.0:34925 4:System		UDP 445  	0.0.0.0 			 *:* 4:System		UDP 137  	169.254.66.8 			 *:* 4:System		UDP 138  	169.254.66.8 			 *:* 664:iexplore.exe	TCP 4867  	0.0.0.0 	LISTENING	 0.0.0.0:4225 664:iexplore.exe	TCP 4870  	0.0.0.0 	LISTENING	 0.0.0.0:45070 664:iexplore.exe	TCP 4871  	0.0.0.0 	LISTENING	 0.0.0.0:18494 664:iexplore.exe	TCP 4872  	0.0.0.0 	LISTENING	 0.0.0.0:6182 664:iexplore.exe	TCP 4867  	169.254.66.8 	ESTABLISHED	 169.254.44.123:80 664:iexplore.exe	TCP 4870  	169.254.66.8 	ESTABLISHED	 207.68.177.62:80 664:iexplore.exe	TCP 4871  	169.254.66.8 	ESTABLISHED	 207.46.248.110:80 664:iexplore.exe	TCP 4872  	169.254.66.8 	ESTABLISHED	 207.46.248.110:80 664:iexplore.exe	UDP 4817  	127.0.0.1 			 *:* 748:lsass.exe		UDP 500  	0.0.0.0 			 *:* 952:svchost.exe	TCP 135  	0.0.0.0 	LISTENING	 0.0.0.0:2096 1092:svchost.exe	TCP 1025  	0.0.0.0 	LISTENING	 0.0.0.0:2064 1092:svchost.exe	TCP 3002  	127.0.0.1 	LISTENING	 0.0.0.0:49193 1092:svchost.exe	TCP 3003  	127.0.0.1 	LISTENING	 0.0.0.0:39078 1092:svchost.exe	UDP 123  	169.254.66.8 			 *:* 1092:svchost.exe	UDP 123  	127.0.0.1 			 *:* 1192:svchost.exe	UDP 3009  	0.0.0.0 			 *:* 1192:svchost.exe	UDP 3015  	0.0.0.0 			 *:* 1192:svchost.exe	UDP 3016  	0.0.0.0 			 *:* 1228:svchost.exe	TCP 5000  	0.0.0.0 	LISTENING	 0.0.0.0:45223 1228:svchost.exe	UDP 1900  	169.254.66.8 			 *:* 1228:svchost.exe	UDP 1900  	127.0.0.1 			 *:* 1536:alg.exe		TCP 3001  	127.0.0.1 	LISTENING	 0.0.0.0:2064 1568:InoRpc.exe	TCP 42510  	0.0.0.0 	LISTENING	 0.0.0.0:14373 1568:InoRpc.exe	UDP 43508  	169.254.66.8 			 *:* 3764:msmsgs.exe	TCP 16521  	169.254.66.8 	LISTENING	 0.0.0.0:45294 3764:msmsgs.exe	UDP 4803  	0.0.0.0 			 *:* 3764:msmsgs.exe	UDP 9160  	169.254.66.8 			 *:* 3764:msmsgs.exe	UDP 9586  	169.254.66.8 			 *:* =======================

======================================================

Process ID: 4 (System)

System Process

PID	Port		Local IP	State		 Remote IP:Port 4	TCP 445  	0.0.0.0 	LISTENING	 0.0.0.0:6246 4	TCP 1026  	0.0.0.0 	LISTENING	 0.0.0.0:28726 4	TCP 139  	169.254.66.8 	LISTENING	 0.0.0.0:34925 4	UDP 445  	0.0.0.0 			 *:* 4	UDP 137  	169.254.66.8 			 *:* 4	UDP 138  	169.254.66.8 			 *:*

Port Statistics

TCP mappings: 3 UDP mappings: 3

TCP ports in a LISTENING state: 	3 = 100.00%


Could not access module information for this process

======================================================

Process ID: 748 (lsass.exe)

User context: NT AUTHORITY\SYSTEM

Service Name: PolicyAgent Display Name: IPSEC Services Service Type: shares a process with other services

Service Name: ProtectedStorage Display Name: Protected Storage

Service Name: SamSs Display Name: Security Accounts Manager Service Type: shares a process with other services

PID	Port		Local IP	State		 Remote IP:Port 748	UDP 500  	0.0.0.0 			 *:*

Port Statistics

TCP mappings: 0 UDP mappings: 1


Loaded modules: D:\WINDOWS\system32\lsass.exe (0x01000000)

D:\WINDOWS\System32\ntdll.dll (0x77F50000) D:\WINDOWS\system32\kernel32.dll (0x77E60000) D:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000) D:\WINDOWS\system32\RPCRT4.dll (0x78000000) D:\WINDOWS\system32\LSASRV.dll (0x74520000) D:\WINDOWS\system32\msvcrt.dll (0x77C10000) D:\WINDOWS\system32\Secur32.dll (0x76F90000) D:\WINDOWS\system32\USER32.dll (0x77D40000) D:\WINDOWS\system32\GDI32.dll (0x77C70000) D:\WINDOWS\system32\SAMSRV.dll (0x74440000) D:\WINDOWS\system32\cryptdll.dll (0x76790000) D:\WINDOWS\system32\DNSAPI.dll (0x76F20000) D:\WINDOWS\system32\WS2_32.dll (0x71AB0000) D:\WINDOWS\system32\WS2HELP.dll (0x71AA0000) D:\WINDOWS\system32\MSASN1.dll (0x762A0000) D:\WINDOWS\system32\NETAPI32.dll (0x71C20000) D:\WINDOWS\system32\SAMLIB.dll (0x71BF0000) D:\WINDOWS\system32\MPR.dll (0x71B20000) D:\WINDOWS\system32\NTDSAPI.dll (0x767A0000) D:\WINDOWS\system32\WLDAP32.dll (0x76F60000) D:\WINDOWS\system32\msprivs.dll (0x743B0000) D:\WINDOWS\system32\kerberos.dll (0x71CF0000) D:\WINDOWS\system32\msv1_0.dll (0x76D10000) D:\WINDOWS\system32\netlogon.dll (0x744B0000) D:\WINDOWS\system32\w32time.dll (0x767C0000) D:\WINDOWS\system32\MSVCP60.dll (0x55900000) D:\WINDOWS\system32\iphlpapi.dll (0x76D60000) D:\WINDOWS\system32\USERENV.dll (0x75A70000) D:\WINDOWS\system32\schannel.dll (0x767F0000) D:\WINDOWS\system32\CRYPT32.dll (0x762C0000) D:\WINDOWS\system32\wdigest.dll (0x74380000) D:\WINDOWS\System32\rsaenh.dll (0x0FFD0000) D:\WINDOWS\system32\setupapi.dll (0x76670000) D:\WINDOWS\system32\scecli.dll (0x74410000) D:\WINDOWS\system32\OLEAUT32.dll (0x77120000) D:\WINDOWS\system32\OLE32.DLL (0x771B0000) D:\WINDOWS\system32\shell32.dll (0x773D0000) D:\WINDOWS\system32\SHLWAPI.dll (0x70A70000) D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll (0x71950000) D:\WINDOWS\system32\comctl32.dll (0x77340000) D:\WINDOWS\system32\ipsecsvc.dll (0x743E0000) D:\WINDOWS\system32\oakley.DLL (0x745D0000) D:\WINDOWS\system32\WINIPSEC.DLL (0x74370000) D:\WINDOWS\system32\mswsock.dll (0x71A50000) D:\WINDOWS\System32\wshtcpip.dll (0x71A90000) D:\WINDOWS\system32\pstorsvc.dll (0x743A0000) D:\WINDOWS\system32\psbase.dll (0x743C0000) D:\WINDOWS\System32\dssenh.dll (0x0FFA0000) ======================================================

Process ID: 952 (svchost.exe)

User context: NT AUTHORITY\SYSTEM

Service Name: RpcSs Display Name: Remote Procedure Call (RPC) Service Type: shares a process with other services

PID	Port		Local IP	State		 Remote IP:Port 952	TCP 135  	0.0.0.0 	LISTENING	 0.0.0.0:2096

Port Statistics

TCP mappings: 1 UDP mappings: 0

TCP ports in a LISTENING state: 	1 = 100.00%

Loaded modules: D:\WINDOWS\system32\svchost.exe (0x01000000)

D:\WINDOWS\System32\ntdll.dll (0x77F50000) D:\WINDOWS\system32\kernel32.dll (0x77E60000) D:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000) D:\WINDOWS\system32\RPCRT4.dll (0x78000000) d:\windows\system32\rpcss.dll (0x75850000) D:\WINDOWS\system32\msvcrt.dll (0x77C10000) d:\windows\system32\WS2_32.dll (0x71AB0000) d:\windows\system32\WS2HELP.dll (0x71AA0000) D:\WINDOWS\system32\USER32.dll (0x77D40000) D:\WINDOWS\system32\GDI32.dll (0x77C70000) d:\windows\system32\Secur32.dll (0x76F90000) D:\WINDOWS\system32\userenv.dll (0x75A70000) D:\WINDOWS\system32\mswsock.dll (0x71A50000) D:\WINDOWS\System32\wshtcpip.dll (0x71A90000) D:\WINDOWS\system32\DNSAPI.dll (0x76F20000) D:\WINDOWS\system32\iphlpapi.dll (0x76D60000) D:\WINDOWS\System32\winrnr.dll (0x76FB0000) D:\WINDOWS\system32\WLDAP32.dll (0x76F60000) D:\WINDOWS\system32\rasadhlp.dll (0x76FC0000) D:\WINDOWS\system32\CLBCATQ.DLL (0x76FD0000) D:\WINDOWS\system32\ole32.dll (0x771B0000) D:\WINDOWS\system32\OLEAUT32.dll (0x77120000) D:\WINDOWS\system32\COMRes.dll (0x77050000) D:\WINDOWS\system32\VERSION.dll (0x77C00000) ======================================================

Process ID: 1092 (svchost.exe)

User context: NT AUTHORITY\SYSTEM

Service Name: AudioSrv Display Name: Windows Audio Service Type: shares a process with other services

Service Name: BITS Display Name: Background Intelligent Transfer Service Service Type: shares a process with other services

Service Name: CryptSvc Display Name: Cryptographic Services Service Type: shares a process with other services

Service Name: Dhcp Display Name: DHCP Client Service Type: shares a process with other services

Service Name: dmserver Display Name: Logical Disk Manager Service Type: shares a process with other services

Service Name: ERSvc Display Name: Error Reporting Service Service Type: shares a process with other services

Service Name: EventSystem Display Name: COM+ Event System Service Type: shares a process with other services

Service Name: helpsvc Display Name: Help and Support Service Type: shares a process with other services

Service Name: lanmanserver Display Name: Server Service Type: shares a process with other services

Service Name: lanmanworkstation Display Name: Workstation Service Type: shares a process with other services

Service Name: Messenger Display Name: Messenger Service Type: shares a process with other services

Service Name: Netman Display Name: Network Connections

Service Name: Nla Display Name: Network Location Awareness (NLA) Service Type: shares a process with other services

Service Name: RasMan Display Name: Remote Access Connection Manager Service Type: shares a process with other services

Service Name: Schedule Display Name: Task Scheduler

Service Name: seclogon Display Name: Secondary Logon

Service Name: SENS Display Name: System Event Notification Service Type: shares a process with other services

Service Name: SharedAccess Display Name: Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) Service Type: shares a process with other services

Service Name: ShellHWDetection Display Name: Shell Hardware Detection Service Type: shares a process with other services

Service Name: srservice Display Name: System Restore Service Service Type: shares a process with other services

Service Name: TapiSrv Display Name: Telephony Service Type: shares a process with other services

Service Name: TermService Display Name: Terminal Services Service Type: shares a process with other services

Service Name: Themes Display Name: Themes Service Type: shares a process with other services

Service Name: TrkWks Display Name: Distributed Link Tracking Client Service Type: shares a process with other services

Service Name: W32Time Display Name: Windows Time Service Type: shares a process with other services

Service Name: winmgmt Display Name: Windows Management Instrumentation Service Type: shares a process with other services

Service Name: wuauserv Display Name: Automatic Updates Service Type: shares a process with other services

Service Name: WZCSVC Display Name: Wireless Zero Configuration Service Type: shares a process with other services

PID	Port		Local IP	State		 Remote IP:Port 1092	TCP 1025  	0.0.0.0 	LISTENING	 0.0.0.0:2064 1092	TCP 3002  	127.0.0.1 	LISTENING	 0.0.0.0:49193 1092	TCP 3003  	127.0.0.1 	LISTENING	 0.0.0.0:39078 1092	UDP 123  	169.254.66.8 			 *:* 1092	UDP 123  	127.0.0.1 			 *:*

Port Statistics

TCP mappings: 3 UDP mappings: 2

TCP ports in a LISTENING state: 	3 = 100.00%

Loaded modules: D:\WINDOWS\System32\svchost.exe (0x01000000)

D:\WINDOWS\System32\ntdll.dll (0x77F50000) D:\WINDOWS\system32\kernel32.dll (0x77E60000) D:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000) D:\WINDOWS\system32\RPCRT4.dll (0x78000000) D:\WINDOWS\system32\ole32.dll (0x771B0000) D:\WINDOWS\system32\GDI32.dll (0x77C70000) D:\WINDOWS\system32\USER32.dll (0x77D40000) d:\windows\system32\shsvcs.dll (0x76BD0000) D:\WINDOWS\system32\msvcrt.dll (0x77C10000) D:\WINDOWS\system32\SHLWAPI.dll (0x70A70000) D:\WINDOWS\system32\shell32.dll (0x773D0000) D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll (0x71950000) D:\WINDOWS\system32\comctl32.dll (0x77340000) D:\WINDOWS\System32\WINSTA.dll (0x76360000) d:\windows\system32\dhcpcsvc.dll (0x76D80000) d:\windows\system32\DNSAPI.dll (0x76F20000) d:\windows\system32\WS2_32.dll (0x71AB0000) d:\windows\system32\WS2HELP.dll (0x71AA0000) d:\windows\system32\iphlpapi.dll (0x76D60000) d:\windows\system32\Secur32.dll (0x76F90000) D:\WINDOWS\System32\UxTheme.dll (0x5AD70000) D:\WINDOWS\System32\rsaenh.dll (0x0FFD0000) d:\windows\system32\wzcsvc.dll (0x70B50000) d:\windows\system32\rtutils.dll (0x76E80000) d:\windows\system32\WMI.dll (0x76D30000) D:\WINDOWS\system32\OLEAUT32.dll (0x77120000) D:\WINDOWS\system32\CRYPT32.dll (0x762C0000) D:\WINDOWS\system32\MSASN1.dll (0x762A0000) d:\windows\system32\WTSAPI32.dll (0x76F50000) d:\windows\system32\ESENT.dll (0x69710000) D:\WINDOWS\system32\WLDAP32.dll (0x76F60000) d:\windows\system32\NETAPI32.dll (0x71C20000) D:\WINDOWS\system32\mswsock.dll (0x71A50000) D:\WINDOWS\System32\wshtcpip.dll (0x71A90000) D:\WINDOWS\System32\rastls.dll (0x555A0000) D:\WINDOWS\System32\ATL.DLL (0x76B20000) D:\WINDOWS\System32\CRYPTUI.dll (0x754D0000) D:\WINDOWS\System32\WINTRUST.dll (0x76C30000) D:\WINDOWS\system32\IMAGEHLP.dll (0x76C90000) D:\WINDOWS\system32\WININET.dll (0x76200000) D:\WINDOWS\System32\MPRAPI.dll (0x76D40000) D:\WINDOWS\System32\ACTIVEDS.dll (0x76E40000) D:\WINDOWS\System32\adsldpc.dll (0x76E10000) D:\WINDOWS\System32\SAMLIB.dll (0x71BF0000) D:\WINDOWS\System32\SETUPAPI.dll (0x76670000) D:\WINDOWS\System32\RASAPI32.dll (0x76EE0000) D:\WINDOWS\System32\rasman.dll (0x76E90000) D:\WINDOWS\System32\TAPI32.dll (0x76EB0000) D:\WINDOWS\System32\WINMM.dll (0x76B40000) D:\WINDOWS\System32\SCHANNEL.dll (0x767F0000) D:\WINDOWS\system32\USERENV.dll (0x75A70000) D:\WINDOWS\System32\WinSCard.dll (0x723D0000) D:\WINDOWS\System32\raschap.dll (0x70AF0000) D:\WINDOWS\system32\msv1_0.dll (0x76D10000) D:\WINDOWS\System32\CLBCATQ.DLL (0x76FD0000) D:\WINDOWS\System32\COMRes.dll (0x77050000) D:\WINDOWS\system32\VERSION.dll (0x77C00000) d:\windows\system32\schedsvc.dll (0x751D0000) d:\windows\system32\NTDSAPI.dll (0x767A0000) D:\WINDOWS\System32\MSIDLE.DLL (0x74F50000) D:\WINDOWS\System32\NTMARTA.DLL (0x76CE0000) d:\windows\system32\audiosrv.dll (0x708B0000) d:\windows\system32\wkssvc.dll (0x75170000) d:\windows\system32\cryptsvc.dll (0x74FA0000) d:\windows\system32\certcli.dll (0x75350000) d:\windows\pchealth\helpctr\binaries\pchsvc.dll (0x74F40000) d:\windows\system32\es.dll (0x76B70000) d:\windows\system32\ersvc.dll (0x74F80000) d:\windows\system32\dmserver.dll (0x74F90000) d:\windows\system32\srvsvc.dll (0x75090000) d:\windows\system32\msgsvc.dll (0x74F60000) d:\windows\system32\netman.dll (0x76DE0000) d:\windows\system32\seclogon.dll (0x73D20000) d:\windows\system32\sens.dll (0x722D0000) d:\windows\system32\srsvc.dll (0x751A0000) d:\windows\system32\POWRPROF.dll (0x74AD0000) d:\windows\system32\tapisrv.dll (0x733E0000) d:\windows\system32\PSAPI.DLL (0x76BF0000) d:\windows\system32\trkwks.dll (0x75070000) d:\windows\system32\w32time.dll (0x767C0000) d:\windows\system32\MSVCP60.dll (0x55900000) d:\windows\system32\wbem\wmisvc.dll (0x597A0000) d:\windows\system32\wbem\wbemcomn.dll (0x75290000) D:\WINDOWS\System32\VSSAPI.DLL (0x753E0000) d:\windows\system32\wuauserv.dll (0x74EC0000) D:\WINDOWS\System32\wuaueng.dll (0x01B20000) D:\WINDOWS\System32\ADVPACK.dll (0x75260000) D:\WINDOWS\System32\sfc.dll (0x76BB0000) D:\WINDOWS\System32\sfc_os.dll (0x76C60000) d:\windows\system32\rasmans.dll (0x72480000) d:\windows\system32\WINIPSEC.DLL (0x74370000) d:\windows\system32\netcfgx.dll (0x755F0000) d:\windows\system32\CLUSAPI.dll (0x55560000) d:\windows\system32\browser.dll (0x74FE0000) D:\WINDOWS\System32\winspool.drv (0x73000000) D:\WINDOWS\System32\rastapi.dll (0x72060000) D:\WINDOWS\System32\SXS.DLL (0x75E90000) D:\WINDOWS\system32\comsvcs.dll (0x75730000) D:\WINDOWS\system32\MTXCLU.DLL (0x750F0000) D:\WINDOWS\system32\WSOCK32.dll (0x71AD0000) D:\WINDOWS\system32\colbact.DLL (0x75130000) D:\WINDOWS\System32\RESUTILS.DLL (0x750B0000) D:\WINDOWS\System32\mtxoci.dll (0x750D0000) D:\WINDOWS\System32\unimdm.tsp (0x57CC0000) D:\WINDOWS\System32\uniplat.dll (0x72000000) D:\WINDOWS\System32\kmddsp.tsp (0x57D40000) D:\WINDOWS\System32\ndptsp.tsp (0x57D20000) D:\WINDOWS\System32\ipconf.tsp (0x57D50000) D:\WINDOWS\System32\h323.tsp (0x57D70000) D:\WINDOWS\System32\hidphone.tsp (0x57D60000) D:\WINDOWS\System32\HID.DLL (0x688F0000) D:\WINDOWS\System32\rasppp.dll (0x72240000) D:\WINDOWS\System32\ntlsapi.dll (0x724B0000) d:\windows\system32\ipnathlp.dll (0x66460000) d:\windows\system32\netshell.dll (0x75CF0000) d:\windows\system32\credui.dll (0x76C00000) d:\windows\system32\HNetCfg.dll (0x68880000) D:\WINDOWS\System32\rasadhlp.dll (0x76FC0000) D:\WINDOWS\System32\Wbem\wbemcore.dll (0x75450000) D:\WINDOWS\System32\Wbem\esscli.dll (0x75310000) D:\WINDOWS\System32\Wbem\FastProx.dll (0x75690000) D:\WINDOWS\System32\wbem\wmiutils.dll (0x75020000) D:\WINDOWS\System32\wbem\repdrvfs.dll (0x75200000) D:\WINDOWS\System32\wbem\wmiprvsd.dll (0x597F0000) D:\WINDOWS\System32\NCObjAPI.DLL (0x5F770000) D:\WINDOWS\System32\wbem\wbemess.dll (0x75390000) D:\WINDOWS\System32\winhttp.dll (0x76080000) d:\windows\system32\termsrv.dll (0x752D0000) d:\windows\system32\ICAAPI.dll (0x74F70000) d:\windows\system32\AUTHZ.dll (0x76CC0000) d:\windows\system32\mstlsapi.dll (0x75110000) D:\WINDOWS\System32\REGAPI.dll (0x76BC0000) D:\WINDOWS\System32\wbem\ncprov.dll (0x5F740000) D:\WINDOWS\System32\catsrvut.dll (0x6FB10000) D:\WINDOWS\System32\MfcSubs.dll (0x61990000) D:\WINDOWS\system32\MPR.dll (0x71B20000) D:\WINDOWS\System32\msi.dll (0x76400000) D:\WINDOWS\System32\Cabinet.dll (0x75150000) D:\WINDOWS\system32\urlmon.dll (0x1A400000) D:\WINDOWS\System32\catsrv.dll (0x6FBD0000) D:\WINDOWS\System32\upnp.dll (0x555F0000) D:\WINDOWS\System32\SSDPAPI.dll (0x74F00000) D:\WINDOWS\System32\RASDLG.dll (0x75550000) d:\windows\system32\qmgr.dll (0x5DDD0000) d:\windows\system32\SHFOLDER.dll (0x76780000) D:\WINDOWS\System32\qmgrprxy.dll (0x5DDC0000) D:\WINDOWS\System32\sensapi.dll (0x722B0000) D:\WINDOWS\System32\winrnr.dll (0x76FB0000) D:\WINDOWS\System32\wbem\wbemsvc.dll (0x74ED0000) D:\WINDOWS\System32\actxprxy.dll (0x71D40000) D:\WINDOWS\System32\wbem\wbemcons.dll (0x73D30000) 
Comme les systèmes Windows 2000 ne prennent pas en charge le mappage de port à processus, le fichier journal PR-INITIAL contient la ligne suivante :
Port to process mappings are not available on this system.

Le fichier journal PR-PORTS

Le fichier journal PR-PORTS contient une synthèse des données relatives à l'activité des ports TCP et UDP de l'ordinateur. Les données sont répertoriées au format .csv de la manière suivante :
date,heure,protocole,port local,adresse IP locale,port distant,adresse IP distante,PID,module,contexte de l'utilisateur
Sur les ordinateurs Windows 2000 qui ne prennent pas en charge le mappage de port à processus, le service Port Reporter répertorie les données en utilisant le format suivant :
date,heure,protocole,port local,adresse IP locale,port distant,adresse IP distante
Voici un exemple du contenu d'un fichier journal PR-PORTS :
Port Reporter Version 1.0 Log File - Port usage log

Check PR-PIDS-04-01-24-8-49-30.log for corresponding process data

Log format: date,time,protocol,local port,local IP address,remote port,remote IP address,PID,module,user context

04/1/24,8:52:21,TCP,4873,0.0.0.0,45070,0.0.0.0,664,iexplore.exe,<MYDOMAIN\user> 04/1/24,8:52:21,TCP,4873,169.254.66.8,80,63.208.107.43,664,iexplore.exe,<MYDOMAIN\user> 04/1/24,8:52:22,UDP,55441,169.254.66.8,*,*,3764,msmsgs.exe,<MYDOMAIN\user> 04/1/24,8:52:41,TCP,4874,0.0.0.0,4225,0.0.0.0,664,iexplore.exe,<MYDOMAIN\user> 04/1/24,8:52:41,TCP,4874,169.254.66.8,80,216.74.132.12,664,iexplore.exe,<MYDOMAIN\user> 4/1/24,21:36:2,TCP,2682,169.254.66.8,445,169.254.133.55,4,System, 04/1/24,21:51:2,TCP,2684,0.0.0.0,12390,0.0.0.0,4,System, 04/1/24,21:51:2,TCP,2684,169.254.66.8,445,169.254.133.55,4,System, 04/1/24,22:03:15,UDP,2686,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user> 04/1/24,22:03:15,UDP,2687,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user> 04/1/24,22:03:43,UDP,2688,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user> 04/1/24,22:04:9,TCP,2690,169.254.66.8,389,169.254.133.55,0,System Idle, 04/1/24,22:04:35,TCP,2691,0.0.0.0,18644,0.0.0.0,1260,svchost.exe 04/1/24,22:04:36,TCP,2691,169.254.66.8,80,169.254.133.55,1260,svchost.exe 04/1/24,22:04:36,UDP,2692,127.0.0.1,*,*,1260,svchost.exe,<NT AUTHORITY\NETWORK SERVICE> 04/1/24,22:04:37,TCP,2693,0.0.0.0,2160,0.0.0.0,1260,svchost.exe,<NT AUTHORITY\NETWORK SERVICE> 04/1/24,22:04:40,TCP,2693,169.254.66.8,80,169.254.133.55,1260,svchost.exe,<NT AUTHORITY\NETWORK SERVICE> 04/1/24,22:05:2,UDP,2697,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user> 04/1/24,22:06:2,TCP,2698,0.0.0.0,12390,0.0.0.0,4,System, 04/1/24,22:06:2,TCP,2698,169.254.66.8,445,169.254.133.55,4,System, 04/1/24,22:06:46,UDP,2700,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user> 04/1/24,22:06:47,UDP,2701,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user> 04/1/24,22:06:47,UDP,2702,0.0.0.0,*,*,2424,Virtual PC.exe,<MYDOMAIN\user> 
Le fichier PR-PORTS peut contenir des entrées semblables aux suivantes :
04/1/24,22:06:2,TCP,2698,0.0.0.0,12390,0.0.0.0,4,System,
Dans ce cas, le contexte de l'utilisateur est manquant. Ces entrées signifient que le service Port Reporter ne peut pas déterminer le compte d'utilisateur auquel est associé le processus. Cette sortie attendue est générée pour le processus System et pour le processus inactif du système. Lorsque vous examinez le contenu du fichier journal PR-PORTS pour des ports ou des processus, notez l'horodatage des entrées à examiner plus en détail. Vous trouverez des détails supplémentaires sur une entrée du fichier journal PR-PORTS en analysant son entrée correspondante dans le fichier journal PR-PIDS. Pour cela, procédez comme suit :
  1. Démarrez le Bloc-notes, puis ouvrez le fichier journal PR-PIDS.
  2. Dans le menu Edition, cliquez sur Rechercher.
  3. Dans la zone Rechercher, tapez les informations relatives à la date et à l'heure de l'entrée du fichier journal PR-PORTS pour laquelle vous souhaitez obtenir des informations supplémentaires, puis cliquez sur Rechercher le suivant.

Le fichier journal PR-PIDS

Le fichier journal PR-PIDS contient des informations détaillées sur les ports, les processus, les modules apparentés et le compte d'utilisateur utilisé pour l'exécution du processus. Voici un exemple du contenu d'un fichier journal PR-PIDS :
Port Reporter Version 1.0 Log File

Process detail log

System Date: Sat Jan 24 08:49:31 2004


Local computer name:

 <ComputerName>


======================================================

Log entry below recorded at: <Date et Heure>

======================================================

Process ID: 664 (iexplore.exe)

User context: MYDOMAIN\user

Process doesn't appear to be a service

PID	Port		Local IP	State		 Remote IP:Port 664	TCP 4867  	0.0.0.0 	LISTENING	 0.0.0.0:4225 664	TCP 4873  	0.0.0.0 	LISTENING	 0.0.0.0:45070 664	TCP 4867  	169.254.66.8  	ESTABLISHED	 169.254.44.12:80 664	TCP 4873  	169.254.66.8  	SYN SENT	 169.254.44.12:80 664	UDP 4817  	127.0.0.1 			 *:*

Port Statistics

TCP mappings: 4 UDP mappings: 1

TCP ports in a LISTENING state: 	2 = 50.00% TCP ports in a SYN SENT state: 		1 = 25.00% TCP ports in a ESTABLISHED state: 	1 = 25.00%

Loaded modules: D:\Program Files\Internet Explorer\iexplore.exe (0x00400000)

D:\WINDOWS\System32\ntdll.dll (0x77F50000) D:\WINDOWS\system32\kernel32.dll (0x77E60000) D:\WINDOWS\system32\msvcrt.dll (0x77C10000) D:\WINDOWS\system32\USER32.dll (0x77D40000) D:\WINDOWS\system32\GDI32.dll (0x77C70000) D:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000) D:\WINDOWS\system32\RPCRT4.dll (0x78000000) D:\WINDOWS\system32\SHLWAPI.dll (0x70A70000) D:\WINDOWS\System32\SHDOCVW.dll (0x71700000) D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll (0x71950000) D:\WINDOWS\system32\SHELL32.dll (0x773D0000) D:\WINDOWS\system32\comctl32.dll (0x77340000) D:\WINDOWS\system32\ole32.dll (0x771B0000) D:\WINDOWS\System32\uxtheme.dll (0x5AD70000) D:\WINDOWS\System32\BROWSEUI.dll (0x75F80000) D:\WINDOWS\System32\browselc.dll (0x72430000) D:\WINDOWS\system32\appHelp.dll (0x75F40000) D:\WINDOWS\System32\CLBCATQ.DLL (0x76FD0000) D:\WINDOWS\system32\OLEAUT32.dll (0x77120000) D:\WINDOWS\System32\COMRes.dll (0x77050000) D:\WINDOWS\system32\VERSION.dll (0x77C00000) D:\WINDOWS\system32\WININET.dll (0x76200000) D:\WINDOWS\system32\CRYPT32.dll (0x762C0000) D:\WINDOWS\system32\MSASN1.dll (0x762A0000) D:\WINDOWS\System32\Secur32.dll (0x76F90000) D:\WINDOWS\System32\cscui.dll (0x76620000) D:\WINDOWS\System32\CSCDLL.dll (0x76600000) D:\WINDOWS\System32\SETUPAPI.dll (0x76670000) D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (0x10000000) D:\Program Files\Microsoft\Rights Management Add-on\mime_filter.dll (0x5F200000) D:\WINDOWS\System32\SXS.DLL (0x75E90000) D:\WINDOWS\system32\urlmon.dll (0x1A400000) D:\WINDOWS\System32\shdoclc.dll (0x00DE0000) D:\WINDOWS\System32\mlang.dll (0x74770000) D:\WINDOWS\System32\wsock32.dll (0x71AD0000) D:\WINDOWS\System32\WS2_32.dll (0x71AB0000) D:\WINDOWS\System32\WS2HELP.dll (0x71AA0000) D:\WINDOWS\system32\mswsock.dll (0x71A50000) D:\WINDOWS\System32\wshtcpip.dll (0x71A90000) D:\WINDOWS\System32\RASAPI32.DLL (0x76EE0000) D:\WINDOWS\System32\rasman.dll (0x76E90000) D:\WINDOWS\System32\NETAPI32.dll (0x71C20000) D:\WINDOWS\System32\TAPI32.dll (0x76EB0000) D:\WINDOWS\System32\rtutils.dll (0x76E80000) D:\WINDOWS\System32\WINMM.dll (0x76B40000) D:\WINDOWS\System32\sensapi.dll (0x722B0000) D:\WINDOWS\system32\USERENV.dll (0x75A70000) D:\WINDOWS\System32\msi.dll (0x01370000) D:\WINDOWS\System32\DNSAPI.dll (0x76F20000) D:\WINDOWS\System32\winrnr.dll (0x76FB0000) D:\WINDOWS\system32\WLDAP32.dll (0x76F60000) D:\WINDOWS\System32\rasadhlp.dll (0x76FC0000) D:\WINDOWS\System32\mshtml.dll (0x63580000) D:\WINDOWS\System32\IMM32.DLL (0x76390000) D:\Program Files\Microsoft Office\Office10\msohev.dll (0x32520000) D:\WINDOWS\System32\jscript.dll (0x6B700000) D:\WINDOWS\System32\dxtrans.dll (0x6BDD0000) D:\WINDOWS\System32\ATL.DLL (0x76B20000) D:\WINDOWS\System32\ddrawex.dll (0x65000000) D:\WINDOWS\System32\DDRAW.dll (0x51000000) D:\WINDOWS\System32\DCIMAN32.dll (0x73BC0000) D:\WINDOWS\System32\dxtmsft.dll (0x6BE10000) D:\WINDOWS\System32\MSLS31.DLL (0x746C0000) D:\WINDOWS\System32\WINSPOOL.DRV (0x73000000) D:\WINDOWS\System32\wdmaud.drv (0x72D20000) D:\WINDOWS\System32\msacm32.drv (0x72D10000) D:\WINDOWS\System32\MSACM32.dll (0x77BE0000) D:\WINDOWS\System32\midimap.dll (0x77BD0000) D:\WINDOWS\System32\msxml3.dll (0x72E00000) D:\WINDOWS\System32\vbscript.dll (0x73300000) D:\WINDOWS\System32\IMGUTIL.DLL (0x66880000) D:\WINDOWS\System32\pngfilt.dll (0x5E310000) D:\WINDOWS\System32\wmp.dll (0x07680000) D:\WINDOWS\System32\MSVFW32.dll (0x73BD0000) D:\WINDOWS\System32\wmploc.dll (0x08110000) D:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll (0x6D440000) D:\WINDOWS\System32\OLEPRO32.DLL (0x5EDD0000) D:\Program Files\Java\j2re1.4.2\bin\jpiexp32.dll (0x6D310000) D:\Program Files\Java\j2re1.4.2\bin\jpishare.dll (0x6D380000) D:\PROGRA~1\Java\J2RE14~1.2\bin\client\jvm.dll (0x04F20000) D:\PROGRA~1\Java\J2RE14~1.2\bin\hpi.dll (0x02FE0000) D:\PROGRA~1\Java\J2RE14~1.2\bin\verify.dll (0x05070000) D:\PROGRA~1\Java\J2RE14~1.2\bin\java.dll (0x05080000) D:\PROGRA~1\Java\J2RE14~1.2\bin\zip.dll (0x050A0000) D:\Program Files\Java\j2re1.4.2\bin\awt.dll (0x083E0000) D:\Program Files\Java\j2re1.4.2\bin\fontmanager.dll (0x075F0000) D:\WINDOWS\System32\D3DIM700.DLL (0x5C000000) D:\Program Files\Java\j2re1.4.2\bin\jpicom32.dll (0x6D2F0000) D:\Program Files\Java\j2re1.4.2\bin\net.dll (0x07660000) D:\WINDOWS\System32\wintrust.dll (0x76C30000) D:\WINDOWS\system32\IMAGEHLP.dll (0x76C90000) D:\WINDOWS\System32\schannel.dll (0x767F0000) D:\WINDOWS\System32\rsaenh.dll (0x0FFD0000) D:\WINDOWS\System32\dssenh.dll (0x0FFA0000) D:\WINDOWS\System32\wmvcore.dll (0x09270000) D:\WINDOWS\System32\WMASF.DLL (0x09470000) D:\WINDOWS\System32\actxprxy.dll (0x71D40000) D:\WINDOWS\System32\dispex.dll (0x6CC60000) D:\WINDOWS\System32\mshtmled.dll (0x74CB0000) D:\WINDOWS\System32\wmnetmgr.dll (0x09D90000) D:\WINDOWS\system32\msv1_0.dll (0x76D10000) D:\WINDOWS\system32\wdigest.dll (0x74380000) D:\WINDOWS\System32\winhttp.dll (0x76080000) D:\WINDOWS\System32\MPRAPI.dll (0x76D40000) D:\WINDOWS\System32\ACTIVEDS.dll (0x76E40000) D:\WINDOWS\System32\adsldpc.dll (0x76E10000) D:\WINDOWS\System32\SAMLIB.dll (0x71BF0000) D:\WINDOWS\System32\iphlpapi.dll (0x76D60000) D:\WINDOWS\System32\netman.dll (0x76DE0000) D:\WINDOWS\System32\WZCSvc.DLL (0x70B50000) D:\WINDOWS\System32\WMI.dll (0x76D30000) D:\WINDOWS\System32\DHCPCSVC.DLL (0x76D80000) D:\WINDOWS\System32\WTSAPI32.dll (0x76F50000) D:\WINDOWS\System32\WINSTA.dll (0x76360000) D:\WINDOWS\System32\ESENT.dll (0x69710000) D:\WINDOWS\System32\hnetcfg.dll (0x68880000) D:\WINDOWS\System32\netshell.dll (0x75CF0000) D:\WINDOWS\System32\credui.dll (0x76C00000) D:\WINDOWS\System32\wbem\wbemprox.dll (0x74EF0000) D:\WINDOWS\System32\wbem\wbemcomn.dll (0x75290000) D:\WINDOWS\System32\wbem\wbemsvc.dll (0x74ED0000) D:\WINDOWS\System32\wbem\fastprox.dll (0x75690000) D:\WINDOWS\System32\quartz.dll (0x35500000) D:\WINDOWS\System32\msdmo.dll (0x0ADF0000) D:\WINDOWS\System32\wmadmod.dll (0x0AE00000) D:\WINDOWS\System32\devenum.dll (0x35680000) D:\WINDOWS\System32\DSOUND.DLL (0x51080000) D:\WINDOWS\System32\KsUser.dll (0x5EF80000)

======================================================

Log entry below recorded at: <Date et Heure> 

Process ID: 3764 (msmsgs.exe)

User context: MYDOMAIN\user

Process doesn't appear to be a service

PID	Port		Local IP	State		 Remote IP:Port 3764	TCP 16521  	169.254.66.8 	LISTENING	 0.0.0.0:45294 3764	UDP 4803  	0.0.0.0 			 *:* 3764	UDP 9586  	169.254.66.8 			 *:* 3764	UDP 55441  	169.254.66.8 			 *:*

Port Statistics

TCP mappings: 1 UDP mappings: 3

TCP ports in a LISTENING state: 	1 = 100.00%

Loaded modules: D:\Program Files\Messenger\msmsgs.exe (0x00400000)

D:\WINDOWS\System32\ntdll.dll (0x77F50000) D:\WINDOWS\system32\kernel32.dll (0x77E60000) D:\WINDOWS\system32\ADVAPI32.DLL (0x77DD0000) D:\WINDOWS\system32\RPCRT4.dll (0x78000000) D:\WINDOWS\system32\GDI32.DLL (0x77C70000) D:\WINDOWS\system32\USER32.dll (0x77D40000) D:\WINDOWS\system32\OLE32.DLL (0x771B0000) D:\WINDOWS\system32\OLEAUT32.DLL (0x77120000) D:\WINDOWS\system32\MSVCRT.DLL (0x77C10000) D:\WINDOWS\WinSxS\X86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\COMCTL32.DLL (0x71950000) D:\WINDOWS\system32\SHLWAPI.dll (0x70A70000) D:\WINDOWS\system32\SHELL32.DLL (0x773D0000) D:\WINDOWS\System32\uxtheme.dll (0x5AD70000) D:\Program Files\Messenger\MSGSLANG.DLL (0x69200000) D:\WINDOWS\System32\CLBCATQ.DLL (0x76FD0000) D:\WINDOWS\System32\COMRes.dll (0x77050000) D:\WINDOWS\system32\VERSION.dll (0x77C00000) D:\WINDOWS\System32\SXS.DLL (0x75E90000) D:\WINDOWS\System32\wtsapi32.dll (0x76F50000) D:\WINDOWS\System32\WINSTA.dll (0x76360000) D:\WINDOWS\System32\es.dll (0x76B70000) D:\WINDOWS\System32\WS2_32.dll (0x71AB0000) D:\WINDOWS\System32\WS2HELP.dll (0x71AA0000) D:\Program Files\Messenger\rtcimsp.dll (0x00F30000) D:\WINDOWS\System32\WSOCK32.dll (0x71AD0000) D:\WINDOWS\System32\rtcdll.dll (0x5D370000) D:\WINDOWS\System32\ATL.DLL (0x76B20000) D:\WINDOWS\System32\Secur32.dll (0x76F90000) D:\WINDOWS\system32\WININET.dll (0x76200000) D:\WINDOWS\system32\CRYPT32.dll (0x762C0000) D:\WINDOWS\system32\MSASN1.dll (0x762A0000) D:\WINDOWS\System32\WINMM.dll (0x76B40000) D:\WINDOWS\System32\iphlpapi.dll (0x76D60000) D:\WINDOWS\System32\DNSAPI.dll (0x76F20000) D:\WINDOWS\System32\termmgr.dll (0x5B6F0000) D:\WINDOWS\System32\rtutils.dll (0x76E80000) D:\WINDOWS\System32\quartz.dll (0x35500000) D:\WINDOWS\system32\mswsock.dll (0x71A50000) D:\WINDOWS\System32\wshtcpip.dll (0x71A90000) D:\WINDOWS\System32\dxmrtp.dll (0x6BE70000) D:\WINDOWS\System32\MSVFW32.dll (0x73BD0000) D:\WINDOWS\System32\DSOUND.dll (0x51080000) D:\WINDOWS\System32\PSAPI.DLL (0x76BF0000) D:\WINDOWS\System32\devenum.dll (0x35680000) D:\WINDOWS\System32\setupapi.dll (0x76670000) D:\WINDOWS\System32\wdmaud.drv (0x72D20000) D:\WINDOWS\System32\msacm32.drv (0x72D10000) D:\WINDOWS\System32\MSACM32.dll (0x77BE0000) D:\WINDOWS\System32\midimap.dll (0x77BD0000) D:\WINDOWS\System32\msdmo.dll (0x01450000) D:\WINDOWS\System32\dpnhupnp.dll (0x018A0000) D:\WINDOWS\System32\rsaenh.dll (0x0FFD0000) D:\WINDOWS\System32\rasapi32.dll (0x76EE0000) D:\WINDOWS\System32\rasman.dll (0x76E90000) D:\WINDOWS\System32\NETAPI32.dll (0x71C20000) D:\WINDOWS\System32\TAPI32.dll (0x76EB0000) D:\WINDOWS\System32\hnetcfg.dll (0x68880000) D:\WINDOWS\System32\netshell.dll (0x75CF0000) D:\WINDOWS\System32\credui.dll (0x76C00000) D:\WINDOWS\System32\DHCPCSVC.DLL (0x76D80000) D:\WINDOWS\System32\wbem\wbemprox.dll (0x74EF0000) D:\WINDOWS\System32\wbem\wbemcomn.dll (0x75290000) D:\WINDOWS\System32\wbem\wbemsvc.dll (0x74ED0000) D:\WINDOWS\System32\wbem\fastprox.dll (0x75690000) D:\WINDOWS\System32\netcfgx.dll (0x755F0000) D:\WINDOWS\System32\CLUSAPI.dll (0x55560000) D:\WINDOWS\System32\sensapi.dll (0x722B0000)

======================================================

Log entry below recorded at: <Date et Heure> 

Process ID: 2424 (Virtual PC.exe)

User context: MYDOMAIN\user

Process doesn't appear to be a service

PID	Port		Local IP	State		 Remote IP:Port 2424	TCP 1262  	0.0.0.0 	LISTENING	 0.0.0.0:2192 2424	TCP 1731  	0.0.0.0 	LISTENING	 0.0.0.0:53467 2424	TCP 2226  	0.0.0.0 	LISTENING	 0.0.0.0:45214 2424	TCP 2229  	0.0.0.0 	LISTENING	 0.0.0.0:2176 2424	TCP 4724  	0.0.0.0 	LISTENING	 0.0.0.0:26634 2424	TCP 4725  	0.0.0.0 	LISTENING	 0.0.0.0:2172 2424	TCP 4726  	0.0.0.0 	LISTENING	 0.0.0.0:39049 2424	TCP 4727  	0.0.0.0 	LISTENING	 0.0.0.0:37118 2424	TCP 4728  	0.0.0.0 	LISTENING	 0.0.0.0:16491 2424	TCP 4729  	0.0.0.0 	LISTENING	 0.0.0.0:20734 2424	TCP 4925  	0.0.0.0 	LISTENING	 0.0.0.0:2064 2424	TCP 4930  	0.0.0.0 	LISTENING	 0.0.0.0:8249 2424	TCP 4931  	0.0.0.0 	LISTENING	 0.0.0.0:61639 2424	TCP 4932  	0.0.0.0 	LISTENING	 0.0.0.0:22535 2424	TCP 2189  	127.0.0.1 	LISTENING	 0.0.0.0:45095 2424	TCP 1262  	169.254.66.8 	ESTABLISHED	 169.254.5.214:1745 2424	TCP 1731  	169.254.66.8 	ESTABLISHED	 169.254.4.228:1745 2424	TCP 2226  	169.254.66.8 	ESTABLISHED	 157.56.120.30:1745 2424	TCP 2229  	169.254.66.8 	ESTABLISHED	 157.56.121.78:1745 2424	TCP 4724  	169.254.66.8 	ESTABLISHED	 169.254.4.38:1745 2424	TCP 4725  	169.254.66.8 	ESTABLISHED	 169.254.5.105:1745 2424	TCP 4726  	169.254.66.8 	ESTABLISHED	 169.254.5.103:1745 2424	TCP 4727  	169.254.66.8 	ESTABLISHED	 169.254.4.240:1745 2424	TCP 4728  	169.254.66.8 	ESTABLISHED	 169.254.7.23:1745 2424	TCP 4729  	169.254.66.8 	ESTABLISHED	 169.254.4.241:1745 2424	TCP 4925  	169.254.66.8 	ESTABLISHED	 169.254.121.89:1745 2424	TCP 4930  	169.254.66.8 	ESTABLISHED	 169.254.113.92:1745 2424	TCP 4931  	169.254.66.8 	ESTABLISHED	 169.254.113.87:1745 2424	TCP 4932  	169.254.66.8 	ESTABLISHED	 169.254.121.93:1745 2424	UDP 2686  	0.0.0.0 			 *:* 2424	UDP 2687  	0.0.0.0 			 *:*

Port Statistics

TCP mappings: 29 UDP mappings: 2

TCP ports in a LISTENING state: 	15 = 51,72% TCP ports in a ESTABLISHED state: 	14 = 48.28%

Loaded modules: C:\Program Files\Microsoft Virtual PC\Virtual PC.exe (0x00400000)

C:\WINDOWS\System32\ntdll.dll (0x77F50000) C:\WINDOWS\system32\kernel32.dll (0x77E60000) C:\WINDOWS\System32\DDRAW.dll (0x51000000) C:\WINDOWS\system32\msvcrt.dll (0x77C10000) C:\WINDOWS\system32\USER32.dll (0x77D40000) C:\WINDOWS\system32\GDI32.dll (0x77C70000) C:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000) C:\WINDOWS\system32\RPCRT4.dll (0x78000000) C:\WINDOWS\System32\DCIMAN32.dll (0x73BC0000) C:\WINDOWS\System32\DINPUT.dll (0x72280000) C:\WINDOWS\System32\WINMM.dll (0x76B40000) C:\WINDOWS\System32\iphlpapi.dll (0x76D60000) C:\WINDOWS\System32\WS2_32.dll (0x71AB0000) C:\WINDOWS\System32\WS2HELP.dll (0x71AA0000) C:\WINDOWS\System32\PSAPI.DLL (0x76BF0000) C:\WINDOWS\system32\comdlg32.dll (0x763B0000) C:\WINDOWS\system32\SHLWAPI.dll (0x70A70000) C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\COMCTL32.dll (0x71950000) C:\WINDOWS\system32\SHELL32.dll (0x773D0000) C:\WINDOWS\System32\WINSPOOL.DRV (0x73000000) C:\WINDOWS\system32\ole32.dll (0x771B0000) C:\WINDOWS\system32\OLEAUT32.dll (0x77120000) C:\WINDOWS\system32\VERSION.dll (0x77C00000) C:\WINDOWS\System32\OLEACC.dll (0x74C80000) C:\WINDOWS\System32\MSVCP60.dll (0x55900000) C:\WINDOWS\System32\uxtheme.dll (0x5AD70000) C:\WINDOWS\System32\MSCTF.dll (0x74720000) C:\WINDOWS\System32\CLBCATQ.DLL (0x76FD0000) C:\WINDOWS\System32\COMRes.dll (0x77050000) C:\WINDOWS\System32\msxml4.dll (0x69B10000) C:\WINDOWS\System32\LINKINFO.dll (0x76980000) C:\WINDOWS\System32\ntshrui.dll (0x76990000) C:\WINDOWS\System32\ATL.DLL (0x76B20000) C:\WINDOWS\System32\NETAPI32.dll (0x71C20000) C:\WINDOWS\system32\USERENV.dll (0x75A70000) C:\Program Files\Microsoft Firewall Client\wspwsp.dll (0x55600000) C:\WINDOWS\System32\mswsock.dll (0x71A50000) C:\WINDOWS\System32\DNSAPI.dll (0x76F20000) C:\WINDOWS\System32\winrnr.dll (0x76FB0000) C:\WINDOWS\system32\WLDAP32.dll (0x76F60000) C:\WINDOWS\System32\wshtcpip.dll (0x71A90000) C:\WINDOWS\System32\rasadhlp.dll (0x76FC0000) C:\WINDOWS\System32\wdmaud.drv (0x72D20000) C:\WINDOWS\System32\msacm32.drv (0x72D10000) C:\WINDOWS\System32\MSACM32.dll (0x77BE0000) C:\WINDOWS\System32\midimap.dll (0x77BD0000) C:\WINDOWS\System32\HID.DLL (0x688F0000) C:\WINDOWS\System32\SETUPAPI.DLL (0x76670000) C:\Documents and Settings\user\Application Data\Microsoft\Virtual PC\VPCKeyboard.dll (0x10000000) C:\WINDOWS\System32\mslbui.dll (0x605D0000) C:\WINDOWS\System32\Secur32.dll (0x76F90000) C:\WINDOWS\System32\security.dll (0x71F80000) C:\WINDOWS\system32\msv1_0.dll (0x76D10000) C:\WINDOWS\system32\appHelp.dll (0x75F40000) C:\WINDOWS\System32\cscui.dll (0x76620000) C:\WINDOWS\System32\CSCDLL.dll (0x76600000) C:\WINDOWS\system32\MPR.dll (0x71B20000) C:\WINDOWS\System32\ntlanman.dll (0x71C10000) C:\WINDOWS\System32\NETUI0.dll (0x71CD0000) C:\WINDOWS\System32\NETUI1.dll (0x71C90000) C:\WINDOWS\System32\NETRAP.dll (0x71C80000) C:\WINDOWS\System32\SAMLIB.dll (0x71BF0000) C:\WINDOWS\System32\drprov.dll (0x75F60000) C:\WINDOWS\System32\davclnt.dll (0x75F70000)

Le service Port Reporter analyse les ports à la recherche de modifications, qu'il signale dans les fichiers journaux. Les modifications peuvent inclure une augmentation ou une diminution du nombre de connexions sur un port ou une modification des états des connexions existantes. Le service Port Reporter enregistre un événement lors de l'établissement de nouvelles connexions à un port TCP ou lors de la fermeture de connexions existantes. Il enregistre également un événement en cas de modification de l'état d'une des connexions TCP sur un port. L'état des ports TCP peut être l'un des suivants :
  • CLOSE_WAIT
  • CLOSED
  • ESTABLISHED
  • FIN_WAIT_1
  • LAST_ACK
  • LISTEN
  • SYN_RECEIVED
  • SYN_SEND
  • TIMED_WAIT
Par exemple, une modification de l'état se produit lorsqu'une connexion qui utilise l'état ESTABLISHED est modifiée de façon à utiliser l'état CLOSE_WAIT. Parfois, le service Port Reporter peut signaler que le processus inactif du système (PID 0) utilise certains ports TCP. Ce scénario peut se produire lorsqu'un programme installé sur l'ordinateur se connecte à un port TCP puis se déconnecte très rapidement du port. La connexion TCP entre le programme et le port peut être laissée dans un état « Timed Wait » bien que le programme ne soit plus en cours d'exécution. Dans ce cas, le service Port Reporter peut détecter que le port est en cours d'utilisation, mais il ne peut pas identifier le programme qui a utilisé le port car ce programme n'est plus en cours d'exécution. Le port peut demeurer dans un état « Timed Wait » pendant plusieurs minutes, bien que le processus qui l'utilisait ne soit plus en cours d'exécution.

Le service Port Reporter crée également une entrée de fichier journal lorsqu'un programme installé sur l'ordinateur commence à utiliser un nouveau port UDP. Par exemple, si un programme établit une liaison avec le port 69 UDP, le service Port Reporter enregistre cette action dans les fichiers journaux PR-PORTS et PR-PIDS. Le service Port Reporter n'enregistre pas les datagrammes UDP qui sont envoyés aux ports UDP. Il signale uniquement que le port UDP est lié et accepte des datagrammes. Microsoft recommande de vérifier si le journal des événements système et le journal d'événements d'applications contiennent des événements enregistrés par le service Port Reporter. Le service Port Reporter enregistre des événements lorsqu'il démarre, lorsqu'il crée des fichiers journaux, lorsqu'il s'arrête ou lorsqu'il rencontre une erreur. La source des événements est enregistrée en tant que PortReporter. Les ID d'événements sont compris entre 100 et 112.

Comme les systèmes Windows 2000 ne prennent pas en charge le mappage de port à processus, le fichier journal PR-PIDS contient la ligne suivante :
Port to process mappings are not available on this system.


Plus d'informations

Pour afficher une Présentation technique en ligne relative à Port Reporter, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
840832 Présentation technique en ligne : Port Reporter

Références

PortQry version 2.0 est un outil connexe. Il permet d'assurer le suivi de l'activité sur un port unique ou sur tous les ports utilisés par un processus spécifique. Pour plus d'informations sur PortQry version 2.0, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
832919. Nouvelles fonctionnalités de PortQry version 2.0
Important L'outil PortQueryUI fournit une interface utilisateur graphique et vous pouvez le télécharger. Plusieurs fonctionnalités de PortQueryUI facilitent l'utilisation de PortQry. Pour obtenir l'outil PortQueryUI, reportez-vous au site Web de Microsoft, à l'adresse suivante :
http://www.microsoft.com/downloads/details.aspx?FamilyID=8355e537-1ea6-4569-aabb-f248f4bd91d0
Important L'outil Port Reporter Parser permet d'analyser les fichiers journaux Port Reporter et vous pouvez le télécharger. De nombreuses fonctionnalités de Port Reporter Parser vous aideront à analyser les fichiers journaux Port Reporter. Pour obtenir l'outil Port Reporter Parser, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://download.microsoft.com/download/2/8/8/28810043-0e21-4004-89a3-2f477a74186f/PRParser.exe

Propriétés

Numéro d'article: 837243 - Dernière mise à jour: mercredi 20 avril 2005 - Version: 6.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbhowtomaster KB837243
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com