Beschreibung des Dienstprogramms Port Reporter Parser (PR-Parser)

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 884289 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt die Verwendung des Dienstprogramms Port Reporter Parser (PR-Parser). Dieser Artikel beschreibt die folgenden Themen, die sich auf PR-Parser-Tool beziehen:
  • Hintergrundinformationen
  • Microsoft Windows-Benutzeroberfläche zum Überprüfen der Protokolle
  • ermitteln verdächtigen Daten oder Daten, denen Sie interessiert sind
  • die Protokolle analysieren und Generieren von Daten

EINFÜHRUNG

Dieser Artikel beschreibt die Verwendung des Dienstprogramms Port Reporter Parser (PR-Parser). PR-Parser ist ein Tool, das Protokolle analysiert, die der Port Reporter-Dienst generiert. PR-Parser-Tool verfügt über zahlreiche erweiterte Features, mit denen Sie Analysieren der Protokolldateien des Port Reporter-Dienst können. PR-Parser können mit dem Port Reporter-Tool in einer Reihe von Szenarios, einschließlich Problembehandlung und sicherheitsbezogener Szenarios. Dieser Artikel befasst sich zum Verwenden der PR-Parser-Tools in sicherheitsbezogenen Szenarien.

Um das PR-Parser-Tool zu erhalten, die folgende Microsoft-Website:
http://download.microsoft.com/download/2/8/8/28810043-0e21-4004-89a3-2f477a74186f/PRParser.exe

Weitere Informationen

Hintergrundinformationen

Wenn ein Windows-Computer anfällig wird, verwendet ein Angreifer in der Regel die Ressourcen der Windows-basierten Computer auf größeren Schaden anrichten oder auf andere Computer anzugreifen. Diese Art von Angriff umfasst normalerweise Aktivitäten wie z. B. einen oder mehrere Prozesse starten oder mithilfe von TCP- und UDP-Ports oder beide. Wenn ein Angreifer diese Aktivität von Windows-Computer selbst ausblendet, können Sie aufzeichnen und diese Aktivität zu identifizieren. Deshalb können Suche nach Anzeichen für diese Art von Aktivität Sie bestimmen, ob ein System betroffen ist.

Das Port Reporter-Tool ist ein Programm, das als Dienst auf einem Computer ausführen kann, auf dem Microsoft Windows Server 2003, Microsoft Windows XP oder Microsoft Windows 2000 ausgeführt wird. Der Port Reporter-Dienst protokolliert Aktivitäten von TCP- und UDP-Ports. Auf Windows Server 2003 und Windows XP-basierten Computern kann der Port Reporter-Dienst die folgende Informationen protokollieren:
  • Die Ports, die verwendet werden
  • Prozesse, die den Port verwenden
  • Gibt an, ob ein Prozess ein Dienst ist
  • Module (.dll, .drv und usw.), die ein Prozess lädt
  • Benutzerkonten, die einen Prozess starten
Die Daten, die vom Port Reporter-Dienst erfasst helfen Ihnen dabei ermitteln, ob ein Computer anfällig ist. Die gleichen Daten ist auch nützlich, für die Problembehandlung, erhält ein Verständnis der Portnutzung des Computers und für die Überwachung des Verhaltens von einem Computer.

PR-Parser ist ein Tool, das Protokolle analysiert, die der Port Reporter-Dienst generiert.Weitere Informationen über den Port Reporter-Dienst finden Sie die folgende KB-Artikelnummer:
837243Verfügbarkeit und Beschreibung des Port Reporter-tool
Das PR-Parser-Tool bietet die folgenden drei grundlegenden Funktionen:
  • Das PR-Parser-Tool enthält eine Windows grafische Benutzeroberfläche (GUI), der die Protokolle vereinfacht. Über die Benutzeroberfläche, können Sie sortieren und Filtern der Daten in eine Reihe von Möglichkeiten.
  • PR-Parser-Tool können Sie identifizieren und Filtern der Daten, denen Sie interessiert sind. Das Tool bietet die folgenden Funktionalitäten:
    • Identifiziert die Prozesse, denen Sie von Interesse sind, die auf einem Computer ausgeführt werden
    • Versucht identifizieren ein Prozess, der den Namen der einem legitimen Prozess verwendet, von den falschen Ordner auf einem Computer ausgeführt wird
    • Identifiziert die Module, z. B. dll- und .drv, die auf einem Computer geladen werden
    • Hilft beim Bestimmen der Zeit bei IP (Internet Protocol) Adressen, die vollständig qualifizierten Domänennamen (FQDNs) oder Computernamen, denen Sie interessiert sind mit einem Computer kommunizieren
    • Identifiziert die Ports, die auf einem Computer verwendet werden
    • Hilft beim bestimmen, wenn die Benutzerkonten auf einem Computer aktiv sind
  • Das PR-Parser-Tool bietet auch einige Protokolldaten für die Analyse. Diese Daten helfen Ihnen die Verwendung von einem Computer zu verstehen. Diese Daten umfasst Folgendes:
    • Eine Bewertungssystem versehen Liste der lokalen (TRANSMISSION Control Protocol)-Anschlussverwendung
    • Eine Bewertungssystem versehen Liste der lokalen Prozess Verwendung
    • Eine Bewertungssystem versehen Liste der Remotezugriff auf IP-Adresse
    • Eine Bewertungssystem versehen Liste der Benutzer Kontext Verwendung
    • Svchost.exe-Service-enumeration
    • Anschlussverwendung durch Stunde des Tages
    • Verwendung von Microsoft Internet Explorer durch Benutzer

Windows-Benutzeroberfläche, die Protokolle zu überprüfen

Das Port Reporter-Tool erstellt die folgenden drei Protokolldateien, wenn das Tool ausgeführt wird:
  • PR - PORTS - timestamp .log
  • PR - PIDS - timestamp .log
  • PR - ersten - timestamp .log
Der Name jeder Protokolldatei verwendet das Datum und die Uhrzeit im 24-Stunden-Format, das auf der Zeit basiert, wenn die Datei erstellt wurde. Das Format von Datums- und Zeitstempel ist year-month-day-hour-minute-second. Die folgenden drei Dateien wurden z. B. auf 24 Januar 2004, am 8:49:30 Uhr erstellt:
  • PR-PORTS-04-01-24-8-49-30.log
  • PR-PIDS-04-01-24-8-49-30.log
  • PR-INITIAL-04-01-24-8-49-30.log
Wenn Sie eine Protokolldatei mit dem PR-Parser-Tool öffnen, enthält die Windows-Benutzeroberfläche des PR-Parser-Tools die folgenden Informationen:
  • Die Titelleiste des Hauptformulars erwähnt Öffnen der Dateiname der Protokolldatei, die aktuell ist.
  • Die Zeitstempel der ersten und letzten Datensätze in der Protokolldatei werden angezeigt.
  • Die Anzahl der Datensätze, die aktuell angezeigt werden ist aufgeführt.
  • Die Protokolleinträge werden in einem Raster auf dem Hauptformular angezeigt.
Hinweis: Im Raster auf dem Hauptformular möglicherweise nicht die Spalten angezeigt, die Informationen verarbeiten, wenn das PR-Parser-Tool von einem Computer ausgeführt wird, die Port-Prozess-Zuordnung nicht unterstützt zusammenhängen. PID , Modul und Konto sind z. B. die Spalten, die Informationen verarbeiten zusammenhängen. Port-Prozess-Zuordnung wird von Windows 2000 nicht unterstützt. Daher kann nicht auf einem Windows 2000-basierten Computer die Spalten sehen werden.

Der Windows-Benutzeroberfläche PR-Parser-Tool bietet die folgenden Features:
  • In einem Datenblatt werden die Details ein Protokolleintrag angezeigt. Wenn Sie doppelklicken Sie auf eine Zeile im Raster auf dem Hauptformular oder klicken Sie mit der rechten Maustaste auf eine Zeile, und klicken Sie dann auf Eigenschaften , werden die Details des Protokolleintrags angezeigt. Dieses Feature ist nur verfügbar, wenn Sie Protokolldateien auf einem Computer untersuchen, deren Betriebssystem Port-Prozess-Zuordnung unterstützt. Als von September 2004 wird dieses Feature nur Windows Server 2003 und Windows XP unterstützt.
  • Sie können die Daten im Raster auf dem Hauptformular in aufsteigender oder absteigender Reihenfolge nach einer Spalte sortieren. Wenn Sie eine Spaltenüberschrift klicken, sortiert das Tool die Daten im Raster auf dem Hauptformular in aufsteigender Reihenfolge nach dieser Spalte. Wenn Sie erneut auf die Spaltenüberschrift klicken, werden das Tool die Daten in absteigender Reihenfolge sortiert. Ein Pfeil wird in einer Spaltenüberschrift angezeigt, wenn Daten nach dieser Spalte sortiert werden. Der Pfeil gibt auch die Sortierreihenfolge an. Wenn Sie das Raster auf seine ursprüngliche Sortierreihenfolge wiederherstellen möchten, klicken Sie im Bearbeiten auf Zurücksetzen Raster Standardsortierung .
  • Sie können eine der folgenden Methoden zum Filtern der Daten im Raster auf dem Hauptformular verwenden:
    • Klicken Sie im Menü Bearbeiten auf Filter zeigen Sie und klicken Sie dann auf Filtern von Daten . Das Raster Daten filtern Dialogfeld wird angezeigt. Sie können eine Spalte wie die Filterdaten und ein Filterkriterium angeben. Nachdem Sie auswählen und die Kriterien anwenden, werden die gefilterten Daten im Datenblatt angezeigt.
    • Klicken Sie mit der rechten Maustaste einer Zelle, deren Wert die Kriterien für den Filter im Raster auf dem Hauptformular ist, auf Filter zeigen und klicken Sie dann auf den entsprechenden Filter basierend auf, ob Sie alle Zeilen ohne diesen Wert oder alle Zeilen mit diesem Wert filtern möchten.
  • Sie können den Inhalt einer Zelle kopieren oder den Inhalt aller Zellen in einer Zeile kopieren. Um den Inhalt einer Zelle kopieren, klicken Sie mit der rechten Maustaste auf eine Zelle und klicken Sie dann auf Kopieren . Um den Inhalt aller Zellen in einer Zeile kopieren möchten, klicken Sie mit der rechten Maustaste auf die Zeilenüberschrift und klicken Sie dann auf Kopieren .
  • Sie können remote IP-Adressen auflösen, die in der Remote-IP- Spalte auf ihre entsprechenden Namen angezeigt werden. Eine Liste von allen IP-Adressen und ihre zugeordneten Namen wird in das Raster angezeigt, nach Abschluss der PR-Parser-Tool den Vorgang. Diese Liste enthält keine Duplikate. Sie können eine der folgenden Methoden verwenden, um RAS IP-Adressen aufzulösen:
    • Klicken Sie im Extras auf allen RAS IP-Adressen auflösen , um alle RAS IP-Adressen aufzulösen.
    • Klicken Sie mit der rechten Maustaste auf eine Zelle, und klicken Sie dann auf Remote IP-Adresse auflösen zum Auflösen der IP-Adresse, die ausgewählt ist.
    Abhängig von der Anzahl der IP-Adressen, die Sie auflösen, kann dieser Vorgang mehrere Minuten dauern. DNS-Cache auf dem Client wird zum Senden von Abfragen mit dem Netzwerk, die bereits beantwortet zu vermeiden.

    Hinweis: Die Geschwindigkeit und Erfolg dieses Vorgangs hängt von Infrastruktur für die Namensauflösung im Netzwerk. Die Geschwindigkeit und Erfolg dieses Vorgangs hängt auch davon ob reverse-Lookup-Einträge für jede IP-Adresse zur Verfügung stehen ab.
  • Sie können Portieren einen Remotecomputer mithilfe des Befehlszeilenprogramms Portqry.exe scannen. "Portqry.exe" ist eine leistungsfähige Befehlszeilen Konnektivität Tool, die nützliche Informationen über TCP- und UDP-Ports generieren können.

    Das PR-Parser-Tool bietet eine Benutzeroberfläche für das Dienstprogramm PortQry.exe verwenden. Dieses Feature können Sie bestimmen den Typ der Remotecomputer und welche Dienste, dass der remote-Computer bietet. Anschluss überprüft remote Computer, klicken Sie mit der rechten Maustaste auf eine Zelle, und klicken Sie dann auf PortQry RAS IP-Adresse .Weitere Informationen über das Befehlszeilenprogramm Portqry.exe-Dienstprogramm finden Sie die folgende KB-Artikelnummer:
    310099Beschreibung des Befehlszeilenprogramms Portqry.exe
    Hinweis: Wenn das PR-Parser-Tool installiert ist, wird die PortQry.exe-Datei in denselben Ordner kopiert, wo die Prparser.exe-Datei gespeichert ist.

Verdächtigen Daten oder Daten, denen Sie interessiert sind identifiziert

PR-Parser-Tool können Sie mehrere Datenpunkte, einschließlich Module, IP-Adressen, Ports, Benutzer und Host Namen verfolgen. Durch mit dem PR-Parser-Tool können Sie schnell ermitteln, ob alle Protokolleinträge in einer Protokolldatei Port Reporter allen Kriterien entsprechen, das das PR-Parser-Tool konfiguriert ist, suchen. Können Sie konfigurieren diese Kriterien in der Benutzeroberfläche das PR-Parser-Tool und dann aktualisieren, um Eigenschaften von neue Bedingungen enthalten, die Sie auswählen.

Um anzeigen, hinzufügen oder Kriterien löschen, klicken Sie auf Kriterien Einstellungen im Menü Bearbeiten .

Im folgenden werden die sechs Kriterien, die in der PR-Parser-Tool zu ermitteln, verdächtigen Daten oder Daten, denen Sie interessiert sind festgelegt werden können.

Tracking bezeichnet Module

Nachverfolgen von bekannten Module können Sie ausführbare Dateien identifizieren, die die Namen der legitimen Binärdateien verwenden und, ausführen oder aus einem falschen Ordner geladen werden. Beispielsweise ist ein beliebter Name für böswillige Software Svchost.exe. Legitime Svchost.exe führt aus den Ordner "% Windir%\System32". Wenn bösartiger Software Svchost.exe heißt und wird in den Ordner % Windir % kopiert, kann es schwierig sein, dass diese Binärdatei aus dem falschen Ordner ausgeführt wird. Wenn aus einem anderen Ordner als den Ordner "System32" Svchost.exe ausgeführt wird, möglicherweise der Computer anfällig für Angriffe. Das PR-Parser-Tool identifiziert diese Art von Problem.

Beachten, dass im Allgemeinen, einige Module von mehr als einem Standort ausgeführt werden. Überprüfen Sie alle Warnungen PR-Parser, um zu bestimmen, ob die Warnung eine falsche Angriffsmeldung handelt oder ob etwas unregelmäßige gefunden wurde. Wenn Sie Port Reporter-Protokolldateien auf unterschiedlichen Computern untersuchen möchten, müssen Sie den lokalen Computer Ordner Einstellungen überschreiben, da der Computer möglicherweise unterschiedlichen Ordnerstrukturen. Zeigen Sie %systemroot% und %windir% z. B. auf verschiedenen Speicherorten auf verschiedenen Computern. In diesem Fall kann das PR-Parser-Tool viele Dateien in den falschen Ordner ausgeführt, da das PR-Parser-Tool behebt diese Variablen mithilfe der Ordnerstruktur auf dem lokalen Computer identifizieren, auf dem das PR-Parser-Tool ausgeführt wird. Um diese Art des Unterschieds zwischen Computern auszugleichen, können Sie dieses Verhalten überschreiben und festlegen das PR-Parser-Tool zum diese Umgebungsvariablen zu beheben. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie im Menü Bearbeiten auf Kriterien Einstellungen .
  2. Klicken Sie auf der Registerkarte Module bekannte auf Konfiguration .
  3. Klicken Sie auf Einstellungen des lokalen Systems Verzeichnis überschreiben .
Dadurch können Sie die Art und Weise überschreiben, dass das PR-Parser-Tool die Umgebungsvariablen aufgelöst wird.

Module

PR-Parser-Tool kann schnell feststellen, ob die Module, denen Sie interessiert sind in der Port Reporter-Protokolldateien gefunden werden. Gehen Sie folgendermaßen vor um Module zu der Liste der Module hinzuzufügen, die Sie interessiert sind,
  1. Klicken Sie im Menü Bearbeiten auf Kriterien Einstellungen .
  2. Klicken Sie auf die Registerkarte Module .
  3. Klicken Sie auf Hinzufügen .
  4. Geben Sie den Namen des Moduls, interessiert sind und klicken Sie auf OK , um das Modul Module zum Suchen nach Liste hinzufügen.
Ebenso können Sie die Module löschen, die der Liste Module zum Suchen nach hinzugefügt werden.

Wenn das PR-Parser-Tool ein Modul in einer Protokolldatei, die Sie interessiert sind findet, zeigt den Eintrag in das Raster auf dem Hauptformular in Rot an. Beispielsweise ist das Netcat.exe-Tool ein Tool, dass Administratoren möglicherweise oder Benutzern die Verwendung in Ihrem Netzwerk möglicherweise nicht möchten. Es kann in Port Reporter-Protokollen identifiziert werden, wenn das Netcat.exe-Tool ausgeführt wird, über seinen ursprünglichen Namen.

Doppelklicken Sie auf eine Linie, die die Details anzeigen ausgewählt ist. Ein Port Reporter Parser - Log Entry Details -Dialogfeld wird geöffnet und enthält die Details zu den Prozess, über die Ports, die verwendet werden und über die Module, die geladen werden. PR-Parser bietet auch eine Warnung. Wenn Sie mit der rechten Maustaste auf den Namen des Prozesses klicken, enthält das PR-Parser-Tool klicken Sie im Dialogfeld Port Reporter Parser - Log Entry Details Optionen für den Prozess "interessanten" oder verdächtigen untersucht.

Hinweis: Sie können nicht auf einem Windows 2000-basierten Computer die Details der einen Protokolleintrag anzuzeigen.

IP-Adressen

PR-Parser-Tool kann IP-Adressen identifizieren, denen Sie in der Port Reporter-Protokolldateien interessiert sind. Gehen Sie folgendermaßen vor um die IP-Adressen anzugeben:
  1. Klicken Sie im Menü Bearbeiten auf Kriterien Einstellungen .
  2. Klicken Sie auf die Registerkarte IP-Adressen .
  3. Klicken Sie auf Hinzufügen .
  4. Geben Sie die IP-Adresse, interessiert sind und klicken Sie auf OK , um die IP-Adresse der IP-Adressen, Suchen nach Liste hinzufügen.
Ebenso können Sie auch die IP-Adressen löschen, die der Liste IP-Adressen, Suchen nach hinzugefügt werden.

Nachdem Sie eine IP-Adresse die IP-Adressen Kriterien hinzufügen und Sie dann die Kriterien wenden, wird die angegebene IP-Adresse im Raster auf dem Hauptformular angezeigt.

Ports

Netzwerkadministratoren verwenden Firewallprotokolle, um festzustellen, welche Programme auf Ihren Netzwerken ausgeführt werden und welche Endpunkte verwendet werden, wenn die Programme kommunizieren. PR-Parser-Tool helfen Ihnen zu bestimmen, welche Ports werden von einem Programm verwendet und können schnell identifizieren die Ports, denen Sie interessiert sind. Viele Viren, Würmer, bösartige Programme und Tools, die von böswilligen Benutzern verwendet werden verwenden dieselben Ports jedem Ausführung. PR-Parser-Tool kann alle Ports identifizieren, die in der Liste Kriterien Ports aufgelistet sind.

Gehen Sie folgendermaßen vor um dieser Liste zu ändern:
  1. Klicken Sie im Menü Bearbeiten auf Kriterien Einstellungen .
  2. Klicken Sie auf die Registerkarte Anschlüsse .
  3. Klicken Sie auf Hinzufügen .
  4. Geben Sie den Namen der den Port und das Protokoll, dem Sie interessiert sind, und klicken Sie auf OK , um der Liste Ports zum Suchen nach die Portinformationen hinzugefügt.
Ebenso können Sie die Anschlüsse löschen, die die Liste Ports zum Suchen nach hinzugefügt werden.

Beachten Sie, dass legitime Programme dieselben Ports verwenden können, die bösartige Programme verwenden. Sie müssen jede Warnung untersuchen, die PR-Parser-Tool bestimmen, ob die Warnung wegen einer Operation generiert wird, die nicht regulären generiert.

Benutzerkonten

PR-Parser-Tool können Sie Benutzerkonten zu identifizieren, denen Sie von Interesse in Port Reporter-Protokolldateien sind. Gehen Sie folgendermaßen vor um die Benutzerkonten anzugeben,
  1. Klicken Sie im Menü Bearbeiten auf Kriterien Einstellungen .
  2. Klicken Sie auf die Registerkarte Benutzerkonten .
  3. Klicken Sie auf Hinzufügen .
  4. Geben Sie das Benutzerkonto, interessiert sind und klicken Sie auf OK , um das Benutzerkonto zur Liste Benutzerkonten zu Objekttypen hinzufügen.
Ebenso können Sie die Benutzerkonten löschen, die der Liste Benutzerkonten zum Suchen nach hinzugefügt werden.

Nachdem Sie einen Benutzer in den Kriterien Benutzerkonten hinzufügen, wird das angegebene Benutzerkonto im Raster auf dem Hauptformular angezeigt.

Hostnamen

PR-Parser-Tool versucht, remote IP-Adressen aufzulösen, die in den Protokollen zu gefunden werden Host Namen. Der Erfolg der Auflösung, hängt von Faktoren wie korrekt konfigurierten Einstellungen für TCP/IP, DNS-Einstellungen, eine Infrastruktur für die betriebliche Namensauflösung und IP-Adressen zu Namen-Zuordnungen. Um die Anzahl der Abfragen zu verringern, die an das Netzwerk gesendet werden, das PR-Parser-Tool einen Namencache und verwendet auch die Name-Caches des Clients. Gehen Sie folgendermaßen vor um diese Namen anzugeben,
  1. Klicken Sie im Menü Bearbeiten auf Kriterien Einstellungen .
  2. Klicken Sie auf die Registerkarte Hostnamen .
  3. Klicken Sie auf Hinzufügen .
  4. Geben Sie den Namen Host, interessiert sind und klicken Sie auf OK , um der Liste Hostnamen zum Suchen nach den Namen Host hinzugefügt.
Wenn das PR-Parser-Tool erfolgreich die IP-Adressen aufgelöst Host Namen, das Tool identifiziert die Host Namen, die die Namen übereinstimmen, befinden sich der Host Kriterienliste und dann werden die Host-Namen angezeigt.

Anwenden der Kriterien

Wenn Sie möchten die Kriterien für die Protokolldatei angeben, das geöffnet wird, können Sie die Option Kriterien anwenden im Menü Extras verwenden. PR-Parser-Tool analysiert die Log-Datei nach Einträgen suchen, die den Kriterien entsprechen. Wenn eine Übereinstimmung gefunden wird, zeigt das PR-Parser-Tool Feld entspricht. Details, z. B. geladenen Module werden nicht im Raster auf dem Hauptformular aufgeführt. Diese Details sind nur verfügbar, wenn Sie die Datensatz-Details anzeigen.

Wenn das PR-Parser-Tool findet, ein Modul, das Sie interessiert sind geladen wurde oder, dass ein Modul, die einen legitimen Namen verwendet von den falschen Ordner geladen wurde, wird das Tool diese Informationen nicht im Hauptformular Raster angezeigt. Dies ist da das PR-Parser-Tool die Felder nicht angezeigt wird. Um alle Zeilen zu identifizieren, die Daten enthalten, die den Kriterien auch in den Details eines Eintrags entsprechen müssen Sie die Daten filtern. Dazu zeigen Sie im Menü Bearbeiten auf Filter , und klicken Sie dann auf nur Zeilen mit "interessante" Daten anzeigen . Dieses Feature können Sie ermitteln, ob alle Protokolleinträge den Kriterien entsprechen, die Sie festlegen. Die resultierende Liste, die eventuell leer enthält alle Zeilen, in denen Daten den Kriterien, einschließlich Details wie z. B. Module entspricht. Die Option nur Zeilen mit "interessante" Daten anzeigen ist nicht verfügbar, bis ein Kriterium für die Daten angewendet wird. Nachdem Sie im Menü Extras auf Kriterien anwenden klicken, ist die Option nur Zeilen mit "interessante" Daten anzeigen verfügbar.

Die Protokolle analysieren und Generieren von Daten

PR-Parser-Tool kann auch Analyse Protokolldaten generieren, die für Administratoren und Netzwerkadministratoren nützlich sein können. Sieben Gruppen von Daten werden aus der Port Reporter-Protokolle von Windows Server 2003 oder Windows XP-basierten Computern generiert. Da das Port Reporter-Tool-Port-Process-Zuordnung nicht auf Windows 2000-basierten Computern ausführen, kann nicht Teil dieser Statistiken aus den Protokollen auf diesen Computern generiert werden. Klicken Sie auf Protokoll Analysedaten im Menü Extras , um die Protokolle analysieren und Ausgabe generieren.

Im folgenden werden die sieben Gruppen von Daten, die durch das PR-Parser-Tool generiert:

Lokale TCP Anschlussverwendung

Dieser Satz Daten umfasst die Anzahl der einzelnen TCP-Anschluss wurde vom Port Reporter-Tool protokolliert. Diese Art von Daten kann hilfreich sein, wenn Sie bestimmen, welche Ports zwischen Subnetzen geöffnet möchten oder mit dem Internet. Diese Daten werden Ihnen eine Vorstellung davon, wie häufig die Ports von jedem Computer verwendet werden. Die Daten enthält einen Prozentsatz der Summe -Wert für jeden Eintrag. Dieser Wert wird berechnet, durch Division der Häufigkeit, die jedes Port verwendet wird, durch die Gesamtzahl der Zeiten, die alle Ports verwendet werden.

Auslastung Prozess

Diese Daten können Sie die um Prozess-Verwendung auf Computern zu analysieren. Z. B. Programme, die dem Computer verwendet wird, werden wie häufig diese protokolliert der Port Reporter-Tool und die Programme, die am häufigsten in der Regel verwendet werden. Die Daten enthält einen Prozentsatz der Summe -Wert für jeden Eintrag. Dieser Wert wird berechnet, indem die Anzahl der jedem Prozess protokolliert wird durch die Gesamtzahl der Zeiten, die alle Prozesse angemeldet sind dividiert wird. Diese Daten ist nicht verfügbar für Windows 2000-basierte Computer.

Svchost.exe-enumeration

PR-Parser-Tool kann alle Dienste identifizieren, die von der Prozess Svchost.exe gehostet werden. Diese Informationen wird benötigt, um die Programme ermitteln, die auf einem Computer ausgeführt werden.

Remotezugriff auf IP-Adresse

Dieses DataSet zeigt die IP-Adressen und möglicherweise den Namen Host, dass der Computer mit kommuniziert wurden hat zeigen. Die Liste ist eingestuft, so dass Sie sehen können, welche Computer häufig kommunizieren.

Können, klicken Sie mit der rechten Maustaste auf das Raster, und wählen Sie eine Option um die IP-Adressen in Ihre entsprechenden Host Namen aufzulösen. PR-Parser-Tool versucht aufzulösen, die Namen über das Netzwerk und DNS-Einstellungen auf dem Computer, auf dem das PR-Parser-Tool ausgeführt wird.

Benutzer Kontext Verwendung

Dieses DataSet zeigt eine Bewertungssystem versehen Liste von Benutzerkonten, die in der Port Reporter-Protokolldatei verwendet wurden. Dies können Sie bestimmen, welche Benutzerkonten auf einem Computer verwendet wurde haben. Diese Daten ist nicht verfügbar für Windows 2000-basierte Computer.

Anschlussverwendung pro Stunde

Dieses DataSet bietet eine Aufschlüsselung der Portnutzung pro Stunde über die Zeit, die die Port Reporter-Protokolldateien gesammelt wurde. Sie können diese Daten verwenden, um die Spitzenzeiten für einen Computer zu verstehen und zu verstehen, ob die Ports zu unerwarteten Zeiten verwendet werden.

Hinweis: Standardmäßig sammelt das Port Reporter für 24 Stunden.

Iexplore.exe Verwendung

Dieser Satz Daten listet die Endpunkte, die Microsoft Internet Explorer besucht. Diese Daten ist für Benutzer durch Benutzer unterteilt, so dass die Verwendung von Internet Explorer für jeden Benutzer ein Profil erstellt werden kann. Diese Daten können Sie bestimmen, welche Sites Benutzer besucht oder die firewalls dem für den Zugriff auf das Internet verwendeten Computer.

Sie können mit der rechten Maustaste auf verwandten Informationen finden Sie das Formular klicken. Jede IP-Adresse, die aufgelistet ist kann ein Host-Name aufgelöst werden. Daher kann der entsprechende Name der jede Website oder Firewall identifiziert werden.

Sie können auch das Dienstprogramm PortQry.exe verwenden, um die Ports auf dem Computer abzufragen, die in dieser Liste identifiziert werden. Klicken Sie auf Speichern , in das Dialogfeld Analysis Daten für Protokoll , um die Analyse-Protokolldaten in eine Textdatei zu speichern.

Eigenschaften

Artikel-ID: 884289 - Geändert am: Mittwoch, 1. November 2006 - Version: 1.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbmt kbreadme kbsectools kbmisctools kbipsec kbhowto kbinfo KB884289 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 884289
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com