A Port Reporter eszköz elérhetősége és leírása

A cikk fordítása A cikk fordítása
Cikk azonosítója: 837243 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglaló

A cikk a Port Reporter eszköz leírását tartalmazza. Az eszköz a Windows Server 2003, Windows XP és Windows 2000 rendszerű számítógépeken futó, a TCP és az UDP port tevékenységét naplózó szolgáltatás, amelynek beszerzéséről és telepítéséről e cikk nyújt bővebb felvilágosítást. Az eszköz telepítésekor a telepítőprogram létrehozza a megfelelő rendszerleíró bejegyzéseket, majd telepíti a Port Reporter szolgáltatást.

A cikk arról is felvilágosítást nyújt, hogy miképp állítható be a szolgáltatás indítási paraméterek használatával, de tájékoztatást ad a szolgáltatás által létrehozott naplófájlokról is.

Bevezetés

A jelen cikk a Port Reporter eszköz beszerzését, telepítését és beállítását ismerteti. A Port Reporter eszköz a Windows Server 2003, Windows XP és Windows 2000 rendszerű számítógépek TCP és UDP portjai tevékenységét naplózni képes alkalmazás.

Áttekintés

A Port Reporter eszköz a TCP és az UDP port tevékenységét naplózza: nem más, mint egy kisméretű program, a Windows Server 2003, a Windows XP vagy a Windows 2000 rendszeren futó szolgáltatás.

Windows Server 2003 és Windows XP rendszerű számítógépeken a szolgáltatás a következő adatok naplózására képes:
  • A használatban lévő portok adatai
  • A portot használó folyamatok adatai
  • Annak rögzítése, hogy az adott folyamat szolgáltatás-e
  • Az adott folyamat által betöltött modulok adatai
  • Az adott folyamatot futtató felhasználói fiókok adatai
Windows 2000 alapú rendszereken a szolgáltatás a használatban lévő portokat és használatuk idejét naplózza.

A Port Reporter eszköz által naplózott adatokkal nyomon követheti az egyes portok használatát, illetve megoldhatja az esetlegesen felmerülő problémákat. A Port Reporter által naplózott információ biztonsági szemszögből is hasznosnak bizonyulhat.

A Port Reporter eszköz beszerzése

A Port Reporter eszköz a Microsoft letöltőközpont alábbi webhelyéről tölthető le:
http://www.microsoft.com/downloads/details.aspx?familyid=69ba779b-bae9-4243-b9d6-63e62b4bcd2e&displaylang=en


Fontos! A Port Reporter Parser a Port Reporter naplófájljainak elemző eszköze. Ez az eszköz most letölthető. A Port Reporter Parser program számos szolgáltatása segít a Port Reporter naplófájljainak elemzésében. A Port Reporter Parser eszköz a következő Microsoft webhelyről tölthető le:
http://download.microsoft.com/download/2/8/8/28810043-0e21-4004-89a3-2f477a74186f/PRParser.exe

A Port Reporter szolgáltatás telepítése

A Port Reporter telepítőprogramja (Pr-Setup.exe) futtatásakor a következő műveleteket hajtja végre:
  • Hozzáadja a következő rendszerleíró alkulcsot a Windows rendszerleíró adatbázisához:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\PortReporter
    A Port Reporter csak e rendszerleíró kulcs megléte esetén tudja a számítógép eseménynaplójába írni a naplóbejegyzéseket.
  • Telepíti a Port Reporter szolgáltatást.

    A telepítő szolgáltatásobjektumot hoz létre a Port Reporter eszközhöz, majd hozzáadja az objektumot a szolgáltatásvezérlő kezelőjének adatbázisához.

A Port Reporter szolgáltatás telepítése az alapértelmezett helyre

A Port Reporter szolgáltatás telepítése alapértelmezés szerint a merevlemez következő mappájába történik:
meghajtó:\Program Files\PortReporter
A Port Reporter szolgáltatás alapértelmezett helytől eltérő helyre történő telepítésének menete az alábbi.
  1. Jelentkezzen be a számítógépre a helyi rendszergazdák csoportjának tagjaként.
  2. Zárja be az összes futó alkalmazást, beleértve a Felügyeleti eszközök csoport Szolgáltatások és Eseménynapló segédprogramját is.
  3. A telepítő indításához kattintson duplán a Pr-Setup.exe fájlra.
  4. Ha a rendszer a Program Files mappába készül telepíteni a Port Reporter eszközt, engedélyezze a műveletet az Y billentyű megnyomásával.

    Ezt követően a telepítő létrehoz egy PortReporter nevű almappát a Program Files mappában, a rendszer a Portreporter.exe fájlt az almappába másolja, és a Szolgáltatásvezérlőben szolgáltatásként regisztrálja.

A Port Reporter szolgáltatás telepítése az alapértelmezettől eltérő helyre

Ha a Port Reporter szolgáltatást nem az alapértelmezett helyre szeretné telepíteni:
  1. Jelentkezzen be a számítógépre a helyi rendszergazdák csoportjának tagjaként.
  2. Zárja be az összes futó alkalmazást, beleértve a Felügyeleti eszközök csoport Szolgáltatások és Eseménynapló segédprogramját is.
  3. Másolja a Pr-setup.exe és a Portreporter.exe fájlt abba a mappába, ahová a Port Reporter eszközt telepíteni szeretné.

    Megjegyzés: A telepítőprogramot csak állandó, helyi meghajtóról lehet futtatni, a telepítőprogram nem futtatható hálózati meghajtóról vagy CD-ROM-meghajtóról.
  4. Írja be a parancssorba a következő sort, és nyomja le az ENTER billentyűt, ahol a mappa_elérési_útja a Pr-setup.exe és a Portreporter.exe fájlokat tartalmazó mappa elérési útja és a mappát tároló meghajtó.
    pr-setup.exe -d 'mappa_elérési_útja'
    Ha az eszközt például a D:\Tools\Port Reporter mappába kívánja telepíteni, a következő parancsot kell beírnia:
    pr-setup.exe –d 'd:\tools\port reporter\'
    A parancssor ablakában a következőhöz hasonló angol nyelvű üzenetek jelennek meg:
    C:\temp>pr-setup.exe -d 'mappa_elérési_útja'
    
    Installing Port Reporter service: mappa_elérési_útja
    
    Creating service...completed successfully
    
    Creating registry key and values...completed successfully
    
    PR-Setup has successfully installed the Port Reporter service 
    The service is currently stopped and set to manual startup type
    
    Please use the services applet Administrative Tools in the control panel to configure
    and start the Port Reporter service
    
    
    press any key to exit setup
  5. A telepítőből történő kilépéshez nyomjon meg egy billentyűt.

A Port Reporter szolgáltatás beállítása és elindítása

Ha tudni szeretné, hogy a szolgáltatás telepítése sikeresen megtörtént-e, majd el szeretné indítani a szolgáltatást, hajtsa végre az alábbi műveleteket.
  1. Kattintson jobb gombbal a Start menü Sajátgép elemére, majd kattintson a helyi menü Kezelés parancsára.
  2. Bontsa ki a Szolgáltatások és kiszolgálói alkalmazások csomópontot, majd kattintson a Szolgáltatások listaelemre.
  3. A jobb oldali ablaktáblában ellenőrizze, hogy a Port Reporter szolgáltatás látható-e a listában.
  4. A szolgáltatás elindításához kattintson duplán annak nevére, majd kattintson az Indítás gombra. Kattintson az OK gombra.

    A Port Reporter szolgáltatás naplóbejegyzést hoz létre az alkalmazásnaplóban, így jelezve, hogy a szolgáltatás működik.
A szolgáltatás alapértelmezett indítási típusa a Kézi érték. Ha azt szeretné, hogy a szolgáltatás a Windows rendszer indításakor automatikusan elinduljon, állítsa az indítási típust Automatikus értékre.

A Port Reporter szolgáltatás alapértelmezés szerint a helyi rendszerfiókkal jelentkezik be a számítógépre, és e fiók használatával adatokat gyűjthet azokról a folyamatokról, amelyekhez a rendszergazdai fióknak vagy az egyéb felhasználói fiókoknak nincsen hozzáférése. A Microsoft ebből kifolyólag nem tanácsolja e beállítás megváltoztatását.

Megjegyzés: Mivel a szolgáltatás a helyi rendszerfiók környezetében fut, a Microsoft javasolja a Port Reporter eszközt tároló mappa biztonságossá tételét. Akár az alapértelmezett helyre (%SystemDrive%\Program Files\PortReporter), akár másik helyre telepíti a szolgáltatást, hajtsa végre az alábbi műveleteket.
  • A Port Reporter eszközt csak NTFS fájlrendszerű partícióra telepítse.
  • Állítsa be a telepítési mappa hozzáférés-szabályozási listáját (ACL) úgy, hogy csak a helyi Rendszergazdák csoport rendelkezzen hozzáféréssel a mappához. Ehhez hajtsa végre a következő lépéseket:
    1. Indítsa el a Windows Intézőt, és keresse meg a telepítési mappát (ez alapértelmezés szerint a %SystemDrive%\Program Files\PortReporter mappa).
    2. Kattintson jobb gombbal a mappára, majd kattintson a helyi menü Tulajdonságok parancsára.
    3. A mappa tulajdonságait összegző párbeszédpanelen kattintson a Biztonság fülre, majd ellenőrizze, hogy mely csoportok és felhasználók rendelkeznek hozzáféréssel a mappához. Ne feledje, hogy csak a helyi Rendszergazdák csoportnak és a SYSTEM fióknak szabad hozzáférést adni.
    4. Jelölje ki a listában szereplő többi csoportot és felhasználót, majd kattintson az Eltávolítás gombra. Ha a lista már csak a helyi Rendszergazdák csoportot és a SYSTEM fiókot tartalmazza, kattintson az Alkalmaz, majd az OK gombra.

A naplófájlok helye

A Port Reporter eszköz alapértelmezés szerint a következő mappában kísérli meg létrehozni a naplófájlokat:
%systemroot%\System32\LogFiles\PortReporter
Ha a mappa még nem létezik, a rendszer létrehozza azt. A naplófájlok helyének beállításához a Port Reporter szolgáltatás párbeszédpaneljének Általános lapján szereplő indítási paramétert használhatja. A naplófájlmappa megadásához a használni kívánt mappa neve elé írja be az -ld parancssori kapcsolót, és ne felejtse a mappanevet aposztrófok (') közé tenni. A következő indítási paraméter megadásakor például a Port Reporter szolgáltatás a C:\Program Files\Port Reporter mappában hozza létre a naplófájlokat a szolgáltatás indításakor:
-ld 'c:\program files\port reporter'

A naplófájlok mérete

A Port Reporter szolgáltatás alapértelmezés szerint mindaddig ír az adott naplófájlba, míg az el nem éri az öt megabájt (MB) méretet, majd ezt követően új naplófájlt hoz létre. A naplófájlok méretének beállítására az -ls parancssori kapcsoló szolgál, a fájlméret pedig 1000 és 102 400 kilobájt (KB) között lehet. A következő indítási paraméter megadásával a Port Reporter szolgáltatás például új naplófájlt hoz létre, valahányszor az előző fájl mérete eléri a 7000 kilobájtot:
-ls 7000
Miután beállította a szolgáltatást a kívánt indítási paraméterekkel, indítsa el a szolgáltatást. Annak indulása után a rendszer a következő két eseményt írja az eseménynaplóba:
Típus: Információ
Forrás: PortReporter
Kategória: Nincs
Esemény azonosítója: 100
Leírás:
The Port Reporter service was started.
Típus: Információ
Forrás: PortReporter
Kategória: Nincs
Esemény azonosítója: 100
Leírás:
The Port Reporter service successfully created log files in the following directory: naplófájlok_elérési_útja

A Port Reporter szolgáltatás eltávolítása

A szolgáltatás eltávolításához írja be a következő parancsot a parancssorba, majd nyomja meg az ENTER billentyűt:
pr-setup.exe -u
A parancssor ablakában a következőhöz hasonló angol nyelvű üzenetek jelennek meg:
Uninstalling Port Reporter service...

Deleting service... Stopping service...completed successfully

   Removing service...completed successfully

Deleting service...completed successfully

Deleting registry key and values...completed successfully


Setup successfully uninstalled the Port Reporter Service 
The installation directory has been left intact


A telepítőprogramból való kilépéshez nyomjon le egy billentyűt.
A Port Reporter szolgáltatás eltávolításakor a telepítőprogram a következő műveleteket hajtja végre:
  • Törli a Port Reporter szolgáltatást a Szolgáltatásvezérlő adatbázisából.
  • Törli a rendszerleíró adatbázisból a Port Reporter szolgáltatás telepítésekor létrehozott bejegyzéseket.
A szolgáltatás eltávolításakor a telepítő nem távolítja el a Pr-setup.exe és a PortReporter.exe fájlt tartalmazó mappát, és a szolgáltatás által létrehozott naplófájlokat sem törli.

A Port Reporter naplófájljainak értelmezése

A Port Reporter szolgáltatás a következő esetekben hoz létre naplófájlokat:
  • A Port Reporter szolgáltatás minden egyes indításakor
  • Minden nap éjfélkor
  • Ha a naplófájl mérete eléri az öt megabájtot vagy az indítási paraméterben megadott egyéni méretkorlátot
A szolgáltatás indításakor a következő naplófájlok jönnek létre:
  • PR-INITIAL-*.log
  • PR-PORTS-*.log
  • PR-PIDS-*.log
Minden naplófájl nevében szerepel a fájl létrehozásának dátuma és időpontja (24 órás formátumban), év, hónap, nap, óra, perc és másodperc sorrendben. A következő három fájlt például 2004. január 24-én reggel, 8:49:30 időpontban hozta létre a rendszer:
  • PR-INITIAL-04-01-24-8-49-30.log
  • PR-PORTS-04-01-24-8-49-30.log
  • PR-PIDS-04-01-24-8-49-30.log

A PR-INITIAL naplófájl

A PR-INITIAL naplófájl azokat az adatokat tartalmazza, a melyeket a Port Reporter szolgáltatás gyűjtött az indításakor a számítógépen futó folyamatokról, modulokról és a portokról. de megtalálhatók benne az egyes folyamatokat tároló felhasználói környezetek is. Az alábbi példa egy Windows XP rendszeren, a Port Reporter szolgáltatás indításakor létrehozott angol nyelvű PR-INITIAL naplófájl tartalmát mutatja be.
Port Reporter Version 1.01 Log File

Service initialization log

System Date: <dátum és időpont>


Local computer name:

 <számítógépnév>

TCP/UDP Port to Process Mappings at service start-up

36 mappings found

PID:Process		Port		Local IP	State		 Remote IP:Port
0:System Idle		TCP 4857  	169.254.66.8 	TIME WAIT	 169.254.44.123:80
4:System		TCP 445  	0.0.0.0 	LISTENING	 0.0.0.0:6246
4:System		TCP 1026  	0.0.0.0 	LISTENING	 0.0.0.0:28726
4:System		TCP 139  	169.254.66.8 	LISTENING	 0.0.0.0:34925
4:System		UDP 445  	0.0.0.0 			 *:*
4:System		UDP 137  	169.254.66.8 			 *:*
4:System		UDP 138  	169.254.66.8 			 *:*
664:iexplore.exe	TCP 4867  	0.0.0.0 	LISTENING	 0.0.0.0:4225
664:iexplore.exe	TCP 4870  	0.0.0.0 	LISTENING	 0.0.0.0:45070
664:iexplore.exe	TCP 4871  	0.0.0.0 	LISTENING	 0.0.0.0:18494
664:iexplore.exe	TCP 4872  	0.0.0.0 	LISTENING	 0.0.0.0:6182
664:iexplore.exe	TCP 4867  	169.254.66.8 	ESTABLISHED	 169.254.44.123:80
664:iexplore.exe	TCP 4870  	169.254.66.8 	ESTABLISHED	 207.68.177.62:80
664:iexplore.exe	TCP 4871  	169.254.66.8 	ESTABLISHED	 207.46.248.110:80
664:iexplore.exe	TCP 4872  	169.254.66.8 	ESTABLISHED	 207.46.248.110:80
664:iexplore.exe	UDP 4817  	127.0.0.1 			 *:*
748:lsass.exe		UDP 500  	0.0.0.0 			 *:*
952:svchost.exe	TCP 135  	0.0.0.0 	LISTENING	 0.0.0.0:2096
1092:svchost.exe	TCP 1025  	0.0.0.0 	LISTENING	 0.0.0.0:2064
1092:svchost.exe	TCP 3002  	127.0.0.1 	LISTENING	 0.0.0.0:49193
1092:svchost.exe	TCP 3003  	127.0.0.1 	LISTENING	 0.0.0.0:39078
1092:svchost.exe	UDP 123  	169.254.66.8 			 *:*
1092:svchost.exe	UDP 123  	127.0.0.1 			 *:*
1192:svchost.exe	UDP 3009  	0.0.0.0 			 *:*
1192:svchost.exe	UDP 3015  	0.0.0.0 			 *:*
1192:svchost.exe	UDP 3016  	0.0.0.0 			 *:*
1228:svchost.exe	TCP 5000  	0.0.0.0 	LISTENING	 0.0.0.0:45223
1228:svchost.exe	UDP 1900  	169.254.66.8 			 *:*
1228:svchost.exe	UDP 1900  	127.0.0.1 			 *:*
1536:alg.exe		TCP 3001  	127.0.0.1 	LISTENING	 0.0.0.0:2064
1568:InoRpc.exe	TCP 42510  	0.0.0.0 	LISTENING	 0.0.0.0:14373
1568:InoRpc.exe	UDP 43508  	169.254.66.8 			 *:*
3764:msmsgs.exe	TCP 16521  	169.254.66.8 	LISTENING	 0.0.0.0:45294
3764:msmsgs.exe	UDP 4803  	0.0.0.0 			 *:*
3764:msmsgs.exe	UDP 9160  	169.254.66.8 			 *:*
3764:msmsgs.exe	UDP 9586  	169.254.66.8 			 *:*
=======================

======================================================

Process ID: 4 (System)

System Process

PID	Port		Local IP	State		 Remote IP:Port
4	TCP 445  	0.0.0.0 	LISTENING	 0.0.0.0:6246
4	TCP 1026  	0.0.0.0 	LISTENING	 0.0.0.0:28726
4	TCP 139  	169.254.66.8 	LISTENING	 0.0.0.0:34925
4	UDP 445  	0.0.0.0 			 *:*
4	UDP 137  	169.254.66.8 			 *:*
4	UDP 138  	169.254.66.8 			 *:*

Port Statistics

TCP mappings: 3
UDP mappings: 3

TCP ports in a LISTENING state: 	3 = 100.00%


Could not access module information for this process

======================================================

Process ID: 748 (lsass.exe)

User context: NT AUTHORITY\SYSTEM

Service Name: PolicyAgent
Display Name: IPSEC Services
Service Type: shares a process with other services

Service Name: ProtectedStorage
Display Name: Protected Storage

Service Name: SamSs
Display Name: Security Accounts Manager
Service Type: shares a process with other services

PID	Port		Local IP	State		 Remote IP:Port
748	UDP 500  	0.0.0.0 			 *:*

Port Statistics

TCP mappings: 0
UDP mappings: 1


Loaded modules:
D:\WINDOWS\system32\lsass.exe (0x01000000)

D:\WINDOWS\System32\ntdll.dll (0x77F50000)
D:\WINDOWS\system32\kernel32.dll (0x77E60000)
D:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000)
D:\WINDOWS\system32\RPCRT4.dll (0x78000000)
D:\WINDOWS\system32\LSASRV.dll (0x74520000)
D:\WINDOWS\system32\msvcrt.dll (0x77C10000)
D:\WINDOWS\system32\Secur32.dll (0x76F90000)
D:\WINDOWS\system32\USER32.dll (0x77D40000)
D:\WINDOWS\system32\GDI32.dll (0x77C70000)
D:\WINDOWS\system32\SAMSRV.dll (0x74440000)
D:\WINDOWS\system32\cryptdll.dll (0x76790000)
D:\WINDOWS\system32\DNSAPI.dll (0x76F20000)
D:\WINDOWS\system32\WS2_32.dll (0x71AB0000)
D:\WINDOWS\system32\WS2HELP.dll (0x71AA0000)
D:\WINDOWS\system32\MSASN1.dll (0x762A0000)
D:\WINDOWS\system32\NETAPI32.dll (0x71C20000)
D:\WINDOWS\system32\SAMLIB.dll (0x71BF0000)
D:\WINDOWS\system32\MPR.dll (0x71B20000)
D:\WINDOWS\system32\NTDSAPI.dll (0x767A0000)
D:\WINDOWS\system32\WLDAP32.dll (0x76F60000)
D:\WINDOWS\system32\msprivs.dll (0x743B0000)
D:\WINDOWS\system32\kerberos.dll (0x71CF0000)
D:\WINDOWS\system32\msv1_0.dll (0x76D10000)
D:\WINDOWS\system32\netlogon.dll (0x744B0000)
D:\WINDOWS\system32\w32time.dll (0x767C0000)
D:\WINDOWS\system32\MSVCP60.dll (0x55900000)
D:\WINDOWS\system32\iphlpapi.dll (0x76D60000)
D:\WINDOWS\system32\USERENV.dll (0x75A70000)
D:\WINDOWS\system32\schannel.dll (0x767F0000)
D:\WINDOWS\system32\CRYPT32.dll (0x762C0000)
D:\WINDOWS\system32\wdigest.dll (0x74380000)
D:\WINDOWS\System32\rsaenh.dll (0x0FFD0000)
D:\WINDOWS\system32\setupapi.dll (0x76670000)
D:\WINDOWS\system32\scecli.dll (0x74410000)
D:\WINDOWS\system32\OLEAUT32.dll (0x77120000)
D:\WINDOWS\system32\OLE32.DLL (0x771B0000)
D:\WINDOWS\system32\shell32.dll (0x773D0000)
D:\WINDOWS\system32\SHLWAPI.dll (0x70A70000)
D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll (0x71950000)
D:\WINDOWS\system32\comctl32.dll (0x77340000)
D:\WINDOWS\system32\ipsecsvc.dll (0x743E0000)
D:\WINDOWS\system32\oakley.DLL (0x745D0000)
D:\WINDOWS\system32\WINIPSEC.DLL (0x74370000)
D:\WINDOWS\system32\mswsock.dll (0x71A50000)
D:\WINDOWS\System32\wshtcpip.dll (0x71A90000)
D:\WINDOWS\system32\pstorsvc.dll (0x743A0000)
D:\WINDOWS\system32\psbase.dll (0x743C0000)
D:\WINDOWS\System32\dssenh.dll (0x0FFA0000)
======================================================

Process ID: 952 (svchost.exe)

User context: NT AUTHORITY\SYSTEM

Service Name: RpcSs
Display Name: Remote Procedure Call (RPC)
Service Type: shares a process with other services

PID	Port		Local IP	State		 Remote IP:Port
952	TCP 135  	0.0.0.0 	LISTENING	 0.0.0.0:2096

Port Statistics

TCP mappings: 1
UDP mappings: 0

TCP ports in a LISTENING state: 	1 = 100.00%

Loaded modules:
D:\WINDOWS\system32\svchost.exe (0x01000000)

D:\WINDOWS\System32\ntdll.dll (0x77F50000)
D:\WINDOWS\system32\kernel32.dll (0x77E60000)
D:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000)
D:\WINDOWS\system32\RPCRT4.dll (0x78000000)
d:\windows\system32\rpcss.dll (0x75850000)
D:\WINDOWS\system32\msvcrt.dll (0x77C10000)
d:\windows\system32\WS2_32.dll (0x71AB0000)
d:\windows\system32\WS2HELP.dll (0x71AA0000)
D:\WINDOWS\system32\USER32.dll (0x77D40000)
D:\WINDOWS\system32\GDI32.dll (0x77C70000)
d:\windows\system32\Secur32.dll (0x76F90000)
D:\WINDOWS\system32\userenv.dll (0x75A70000)
D:\WINDOWS\system32\mswsock.dll (0x71A50000)
D:\WINDOWS\System32\wshtcpip.dll (0x71A90000)
D:\WINDOWS\system32\DNSAPI.dll (0x76F20000)
D:\WINDOWS\system32\iphlpapi.dll (0x76D60000)
D:\WINDOWS\System32\winrnr.dll (0x76FB0000)
D:\WINDOWS\system32\WLDAP32.dll (0x76F60000)
D:\WINDOWS\system32\rasadhlp.dll (0x76FC0000)
D:\WINDOWS\system32\CLBCATQ.DLL (0x76FD0000)
D:\WINDOWS\system32\ole32.dll (0x771B0000)
D:\WINDOWS\system32\OLEAUT32.dll (0x77120000)
D:\WINDOWS\system32\COMRes.dll (0x77050000)
D:\WINDOWS\system32\VERSION.dll (0x77C00000)
======================================================

Process ID: 1092 (svchost.exe)

User context: NT AUTHORITY\SYSTEM

Service Name: AudioSrv
Display Name: Windows Audio
Service Type: shares a process with other services

Service Name: BITS
Display Name: Background Intelligent Transfer Service
Service Type: shares a process with other services

Service Name: CryptSvc
Display Name: Cryptographic Services
Service Type: shares a process with other services

Service Name: Dhcp
Display Name: DHCP Client
Service Type: shares a process with other services

Service Name: dmserver
Display Name: Logical Disk Manager
Service Type: shares a process with other services

Service Name: ERSvc
Display Name: Error Reporting Service
Service Type: shares a process with other services

Service Name: EventSystem
Display Name: COM+ Event System
Service Type: shares a process with other services

Service Name: helpsvc
Display Name: Help and Support
Service Type: shares a process with other services

Service Name: lanmanserver
Display Name: Server
Service Type: shares a process with other services

Service Name: lanmanworkstation
Display Name: Workstation
Service Type: shares a process with other services

Service Name: Messenger
Display Name: Messenger
Service Type: shares a process with other services

Service Name: Netman
Display Name: Network Connections

Service Name: Nla
Display Name: Network Location Awareness (NLA)
Service Type: shares a process with other services

Service Name: RasMan
Display Name: Remote Access Connection Manager
Service Type: shares a process with other services

Service Name: Schedule
Display Name: Task Scheduler

Service Name: seclogon
Display Name: Secondary Logon

Service Name: SENS
Display Name: System Event Notification
Service Type: shares a process with other services

Service Name: SharedAccess
Display Name: Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
Service Type: shares a process with other services

Service Name: ShellHWDetection
Display Name: Shell Hardware Detection
Service Type: shares a process with other services

Service Name: srservice
Display Name: System Restore Service
Service Type: shares a process with other services

Service Name: TapiSrv
Display Name: Telephony
Service Type: shares a process with other services

Service Name: TermService
Display Name: Terminal Services
Service Type: shares a process with other services

Service Name: Themes
Display Name: Themes
Service Type: shares a process with other services

Service Name: TrkWks
Display Name: Distributed Link Tracking Client
Service Type: shares a process with other services

Service Name: W32Time
Display Name: Windows Time
Service Type: shares a process with other services

Service Name: winmgmt
Display Name: Windows Management Instrumentation
Service Type: shares a process with other services

Service Name: wuauserv
Display Name: Automatic Updates
Service Type: shares a process with other services

Service Name: WZCSVC
Display Name: Wireless Zero Configuration
Service Type: shares a process with other services

PID	Port		Local IP	State		 Remote IP:Port
1092	TCP 1025  	0.0.0.0 	LISTENING	 0.0.0.0:2064
1092	TCP 3002  	127.0.0.1 	LISTENING	 0.0.0.0:49193
1092	TCP 3003  	127.0.0.1 	LISTENING	 0.0.0.0:39078
1092	UDP 123  	169.254.66.8 			 *:*
1092	UDP 123  	127.0.0.1 			 *:*

Port Statistics

TCP mappings: 3
UDP mappings: 2

TCP ports in a LISTENING state: 	3 = 100.00%

Loaded modules:
D:\WINDOWS\System32\svchost.exe (0x01000000)

D:\WINDOWS\System32\ntdll.dll (0x77F50000)
D:\WINDOWS\system32\kernel32.dll (0x77E60000)
D:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000)
D:\WINDOWS\system32\RPCRT4.dll (0x78000000)
D:\WINDOWS\system32\ole32.dll (0x771B0000)
D:\WINDOWS\system32\GDI32.dll (0x77C70000)
D:\WINDOWS\system32\USER32.dll (0x77D40000)
d:\windows\system32\shsvcs.dll (0x76BD0000)
D:\WINDOWS\system32\msvcrt.dll (0x77C10000)
D:\WINDOWS\system32\SHLWAPI.dll (0x70A70000)
D:\WINDOWS\system32\shell32.dll (0x773D0000)
D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll (0x71950000)
D:\WINDOWS\system32\comctl32.dll (0x77340000)
D:\WINDOWS\System32\WINSTA.dll (0x76360000)
d:\windows\system32\dhcpcsvc.dll (0x76D80000)
d:\windows\system32\DNSAPI.dll (0x76F20000)
d:\windows\system32\WS2_32.dll (0x71AB0000)
d:\windows\system32\WS2HELP.dll (0x71AA0000)
d:\windows\system32\iphlpapi.dll (0x76D60000)
d:\windows\system32\Secur32.dll (0x76F90000)
D:\WINDOWS\System32\UxTheme.dll (0x5AD70000)
D:\WINDOWS\System32\rsaenh.dll (0x0FFD0000)
d:\windows\system32\wzcsvc.dll (0x70B50000)
d:\windows\system32\rtutils.dll (0x76E80000)
d:\windows\system32\WMI.dll (0x76D30000)
D:\WINDOWS\system32\OLEAUT32.dll (0x77120000)
D:\WINDOWS\system32\CRYPT32.dll (0x762C0000)
D:\WINDOWS\system32\MSASN1.dll (0x762A0000)
d:\windows\system32\WTSAPI32.dll (0x76F50000)
d:\windows\system32\ESENT.dll (0x69710000)
D:\WINDOWS\system32\WLDAP32.dll (0x76F60000)
d:\windows\system32\NETAPI32.dll (0x71C20000)
D:\WINDOWS\system32\mswsock.dll (0x71A50000)
D:\WINDOWS\System32\wshtcpip.dll (0x71A90000)
D:\WINDOWS\System32\rastls.dll (0x555A0000)
D:\WINDOWS\System32\ATL.DLL (0x76B20000)
D:\WINDOWS\System32\CRYPTUI.dll (0x754D0000)
D:\WINDOWS\System32\WINTRUST.dll (0x76C30000)
D:\WINDOWS\system32\IMAGEHLP.dll (0x76C90000)
D:\WINDOWS\system32\WININET.dll (0x76200000)
D:\WINDOWS\System32\MPRAPI.dll (0x76D40000)
D:\WINDOWS\System32\ACTIVEDS.dll (0x76E40000)
D:\WINDOWS\System32\adsldpc.dll (0x76E10000)
D:\WINDOWS\System32\SAMLIB.dll (0x71BF0000)
D:\WINDOWS\System32\SETUPAPI.dll (0x76670000)
D:\WINDOWS\System32\RASAPI32.dll (0x76EE0000)
D:\WINDOWS\System32\rasman.dll (0x76E90000)
D:\WINDOWS\System32\TAPI32.dll (0x76EB0000)
D:\WINDOWS\System32\WINMM.dll (0x76B40000)
D:\WINDOWS\System32\SCHANNEL.dll (0x767F0000)
D:\WINDOWS\system32\USERENV.dll (0x75A70000)
D:\WINDOWS\System32\WinSCard.dll (0x723D0000)
D:\WINDOWS\System32\raschap.dll (0x70AF0000)
D:\WINDOWS\system32\msv1_0.dll (0x76D10000)
D:\WINDOWS\System32\CLBCATQ.DLL (0x76FD0000)
D:\WINDOWS\System32\COMRes.dll (0x77050000)
D:\WINDOWS\system32\VERSION.dll (0x77C00000)
d:\windows\system32\schedsvc.dll (0x751D0000)
d:\windows\system32\NTDSAPI.dll (0x767A0000)
D:\WINDOWS\System32\MSIDLE.DLL (0x74F50000)
D:\WINDOWS\System32\NTMARTA.DLL (0x76CE0000)
d:\windows\system32\audiosrv.dll (0x708B0000)
d:\windows\system32\wkssvc.dll (0x75170000)
d:\windows\system32\cryptsvc.dll (0x74FA0000)
d:\windows\system32\certcli.dll (0x75350000)
d:\windows\pchealth\helpctr\binaries\pchsvc.dll (0x74F40000)
d:\windows\system32\es.dll (0x76B70000)
d:\windows\system32\ersvc.dll (0x74F80000)
d:\windows\system32\dmserver.dll (0x74F90000)
d:\windows\system32\srvsvc.dll (0x75090000)
d:\windows\system32\msgsvc.dll (0x74F60000)
d:\windows\system32\netman.dll (0x76DE0000)
d:\windows\system32\seclogon.dll (0x73D20000)
d:\windows\system32\sens.dll (0x722D0000)
d:\windows\system32\srsvc.dll (0x751A0000)
d:\windows\system32\POWRPROF.dll (0x74AD0000)
d:\windows\system32\tapisrv.dll (0x733E0000)
d:\windows\system32\PSAPI.DLL (0x76BF0000)
d:\windows\system32\trkwks.dll (0x75070000)
d:\windows\system32\w32time.dll (0x767C0000)
d:\windows\system32\MSVCP60.dll (0x55900000)
d:\windows\system32\wbem\wmisvc.dll (0x597A0000)
d:\windows\system32\wbem\wbemcomn.dll (0x75290000)
D:\WINDOWS\System32\VSSAPI.DLL (0x753E0000)
d:\windows\system32\wuauserv.dll (0x74EC0000)
D:\WINDOWS\System32\wuaueng.dll (0x01B20000)
D:\WINDOWS\System32\ADVPACK.dll (0x75260000)
D:\WINDOWS\System32\sfc.dll (0x76BB0000)
D:\WINDOWS\System32\sfc_os.dll (0x76C60000)
d:\windows\system32\rasmans.dll (0x72480000)
d:\windows\system32\WINIPSEC.DLL (0x74370000)
d:\windows\system32\netcfgx.dll (0x755F0000)
d:\windows\system32\CLUSAPI.dll (0x55560000)
d:\windows\system32\browser.dll (0x74FE0000)
D:\WINDOWS\System32\winspool.drv (0x73000000)
D:\WINDOWS\System32\rastapi.dll (0x72060000)
D:\WINDOWS\System32\SXS.DLL (0x75E90000)
D:\WINDOWS\system32\comsvcs.dll (0x75730000)
D:\WINDOWS\system32\MTXCLU.DLL (0x750F0000)
D:\WINDOWS\system32\WSOCK32.dll (0x71AD0000)
D:\WINDOWS\system32\colbact.DLL (0x75130000)
D:\WINDOWS\System32\RESUTILS.DLL (0x750B0000)
D:\WINDOWS\System32\mtxoci.dll (0x750D0000)
D:\WINDOWS\System32\unimdm.tsp (0x57CC0000)
D:\WINDOWS\System32\uniplat.dll (0x72000000)
D:\WINDOWS\System32\kmddsp.tsp (0x57D40000)
D:\WINDOWS\System32\ndptsp.tsp (0x57D20000)
D:\WINDOWS\System32\ipconf.tsp (0x57D50000)
D:\WINDOWS\System32\h323.tsp (0x57D70000)
D:\WINDOWS\System32\hidphone.tsp (0x57D60000)
D:\WINDOWS\System32\HID.DLL (0x688F0000)
D:\WINDOWS\System32\rasppp.dll (0x72240000)
D:\WINDOWS\System32\ntlsapi.dll (0x724B0000)
d:\windows\system32\ipnathlp.dll (0x66460000)
d:\windows\system32\netshell.dll (0x75CF0000)
d:\windows\system32\credui.dll (0x76C00000)
d:\windows\system32\HNetCfg.dll (0x68880000)
D:\WINDOWS\System32\rasadhlp.dll (0x76FC0000)
D:\WINDOWS\System32\Wbem\wbemcore.dll (0x75450000)
D:\WINDOWS\System32\Wbem\esscli.dll (0x75310000)
D:\WINDOWS\System32\Wbem\FastProx.dll (0x75690000)
D:\WINDOWS\System32\wbem\wmiutils.dll (0x75020000)
D:\WINDOWS\System32\wbem\repdrvfs.dll (0x75200000)
D:\WINDOWS\System32\wbem\wmiprvsd.dll (0x597F0000)
D:\WINDOWS\System32\NCObjAPI.DLL (0x5F770000)
D:\WINDOWS\System32\wbem\wbemess.dll (0x75390000)
D:\WINDOWS\System32\winhttp.dll (0x76080000)
d:\windows\system32\termsrv.dll (0x752D0000)
d:\windows\system32\ICAAPI.dll (0x74F70000)
d:\windows\system32\AUTHZ.dll (0x76CC0000)
d:\windows\system32\mstlsapi.dll (0x75110000)
D:\WINDOWS\System32\REGAPI.dll (0x76BC0000)
D:\WINDOWS\System32\wbem\ncprov.dll (0x5F740000)
D:\WINDOWS\System32\catsrvut.dll (0x6FB10000)
D:\WINDOWS\System32\MfcSubs.dll (0x61990000)
D:\WINDOWS\system32\MPR.dll (0x71B20000)
D:\WINDOWS\System32\msi.dll (0x76400000)
D:\WINDOWS\System32\Cabinet.dll (0x75150000)
D:\WINDOWS\system32\urlmon.dll (0x1A400000)
D:\WINDOWS\System32\catsrv.dll (0x6FBD0000)
D:\WINDOWS\System32\upnp.dll (0x555F0000)
D:\WINDOWS\System32\SSDPAPI.dll (0x74F00000)
D:\WINDOWS\System32\RASDLG.dll (0x75550000)
d:\windows\system32\qmgr.dll (0x5DDD0000)
d:\windows\system32\SHFOLDER.dll (0x76780000)
D:\WINDOWS\System32\qmgrprxy.dll (0x5DDC0000)
D:\WINDOWS\System32\sensapi.dll (0x722B0000)
D:\WINDOWS\System32\winrnr.dll (0x76FB0000)
D:\WINDOWS\System32\wbem\wbemsvc.dll (0x74ED0000)
D:\WINDOWS\System32\actxprxy.dll (0x71D40000)
D:\WINDOWS\System32\wbem\wbemcons.dll (0x73D30000)

A Port Reporter szolgáltatás figyeli a portok változásait, és azokat a naplófájlba írja. A változások jelezhetik az adott porton létező kapcsolatok számának növekedését vagy csökkenését, de akár a létező kapcsolatok állapotának megváltozását is. A szolgáltatás rögzíti, ha új kapcsolat jön létre valamely TCP porton, illetve ha egy létező kapcsolat megszűnik, de arról is bejegyzést készít, ha a port TCP-kapcsolatainak állapota módosul. A TCP port állapotai:
  • CLOSE_WAIT
  • CLOSED
  • ESTABLISHED
  • FIN_WAIT_1
  • LAST_ACK
  • LISTEN
  • SYN_RECEIVED
  • SYN_SEND
  • TIMED_WAIT
Az állapot például akkor változik, ha egy ESTABLISHED állapotot használó kapcsolat a CLOSE_WAIT állapotot kezdi használni. A Port Reporter szolgáltatás bizonyos esetekben azt jelezheti, hogy a rendszer üresjárati folyamata (PID 0) használ néhány TCP portot. Ez abban az esetben lehet így, ha a számítógépre telepített egyik program kapcsolatot létesít valamely TCP porttal, majd nagyon gyorsan bontja is a kapcsolatot. A program és a port között létesített TCP-kapcsolat ilyenkor TIMED WAIT állapotban maradhat, noha a program már nem fut. Ennek következtében a Port Reporter szolgáltatás esetleg azt észleli, hogy a port még mindig használatban van, ám mivel az azt használó program már nem fut, nem tudja azonosítani a programot. A TIME WAIT állapot akár több percig is tarthat, annak ellenére, hogy a portot használó folyamat már nem is fut.

A Port Reporter szolgáltatás olyankor is naplóbejegyzést készít, ha a számítógépre telepített valamely program új UDP portot vesz használatba. Ha a program például a 69-es UDP porttal létesít kapcsolatot, a szolgáltatás a PR-PORTS és a PR-PIDS naplófájlba írja a műveletet, az UDP portokra küldött UDP-datagramokat azonban nem naplózza. Csak azt rögzíti, hogy kapcsolatot létesítettek a porttal, illetve hogy az datagramokat fogad. A Microsoft azt tanácsolja, hogy a rendszereseményeket, illetve az alkalmazáseseményeket rögzítő naplót ellenőrizve tanulmányozza a Port Reporter szolgáltatás által naplózott eseményeket. A Port Reporter akkor rögzíti az eseményeket, amikor a szolgáltatás elindul, naplófájlokat hoz létre, leáll vagy hibát észlel. Az események forrása PortReporter jelzéssel szerepel az eseménynaplóban, az események azonosítói 100 és 112 közöttiek.

Mivel a Windows 2000 rendszerek nem támogatják a portok folyamatokhoz rendelését, a PR-PIDS naplófájl a következő sort fogja tartalmazni:
A portok folyamatokhoz rendelése ezen a rendszeren nem végezhető el.


További információ

Ha meg szeretné tekinteni a Port Reporter szolgáltatást bemutató élő adást, kattintson a Microsoft Tudásbázis következő számú cikkére:
840832 Terméktámogatás – élő adás: Port Reporter (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Hivatkozások

A PortQry eszköz 2.0-s verziója a Port Reporter eszközhöz hasonló segédprogram, amellyel nyomon követheti egy adott porton vagy egy adott folyamat által használt összes porton folyó tevékenységet.Ha további tájékoztatásra van szüksége a PortQry eszköz 2.0-s verziójáról, kattintson a következő cikkszámra, és olvassa el a Microsoft Tudásbázis cikkét:
832919 A PortQry eszköz 2.0-s verziójának új szolgáltatásai és funkciói (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
Fontos! A grafikus felhasználói felülettel rendelkező PortQueryUI eszköz letölthető. A PortQueryUI eszköz néhány szolgáltatása könnyebbé teszi a PortQry használatát. Ha meg kívánja szerezni a PortQueryUI eszközt, töltse le a következő Microsoft webhelyről:
http://download.microsoft.com/download/3/f/4/3f4c6a54-65f0-4164-bdec-a3411ba24d3a/PortQryUI.exe
Fontos! A Port Reporter Parser eszköz, amely a Port Reporter naplófájljainak elemzéseire szolgál, most letölthető. A Port Reporter Parser eszköz számos speciális szolgáltatása segít a Port Reporter naplófájljainak elemzésében. Ha meg kívánja szerezni a Port Reporter Parser eszközt, töltse le a következő Microsoft webhelyről:
http://download.microsoft.com/download/2/8/8/28810043-0e21-4004-89a3-2f477a74186f/PRParser.exe

Tulajdonságok

Cikk azonosítója: 837243 - Utolsó ellenőrzés: 2005. január 14. - Verziószám: 6.1
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Kulcsszavak: 
kbhowtomaster KB837243
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com