Περιγραφή του εργαλείου ανάλυσης αναφοράς θύρας (PR-ανάλυσης)

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 884289 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Αυτό το άρθρο περιγράφει τη χρήση του εργαλείου ανάλυσης αναφοράς θύρας (PR-Parser). Αυτό το άρθρο περιγράφει τα ακόλουθα θέματα που σχετίζονται με το εργαλείο ανάλυσης PR:
  • Γενικές πληροφορίες
  • Microsoft Windows Γραφικών για να αναθεωρήσετε τα αρχεία καταγραφής
  • Αναγνώριση ύποπτων δεδομένα ή δεδομένα που σας ενδιαφέρουν
  • Ανάλυση των αρχείων καταγραφής και τη δημιουργία δεδομένων

ΕΙΣΑΓΩΓΗ

Αυτό το άρθρο περιγράφει τη χρήση του εργαλείου ανάλυσης αναφοράς θύρας (PR-Parser). PR ανάλυσης είναι ένα εργαλείο που αναλύει τα αρχεία καταγραφής που δημιουργούνται από την υπηρεσία αναφοράς της θύρας. Το εργαλείο ανάλυσης PR έχει πολλές σύνθετες δυνατότητες που θα σας βοηθήσουν να αναλύσετε τα αρχεία καταγραφής της υπηρεσίας αναφοράς της θύρας. Μπορείτε να χρησιμοποιήσετε το πρόγραμμα ανάλυσης PR με το εργαλείο αναφοράς θύρας σε διάφορα σενάρια, συμπεριλαμβανομένων των σεναρίων αντιμετώπισης προβλημάτων και σχετίζονται με την ασφάλεια. Αυτό το άρθρο επικεντρώνεται στο πώς μπορείτε να χρησιμοποιήσετε το εργαλείο ανάλυσης PR στα σενάρια που σχετίζονται με την ασφάλεια.

Για να αποκτήσετε το εργαλείο ανάλυσης PR, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://Download.Microsoft.com/Download/2/8/8/28810043-0e21-4004-89a3-2f477a74186f/PRParser.exe

Περισσότερες πληροφορίες

Γενικές πληροφορίες

Όταν ένας υπολογιστής που βασίζεται σε Windows Microsoft ευάλωτος, ένας εισβολέας συνήθως χρησιμοποιεί τους πόρους του υπολογιστή που βασίζεται στα Windows να inflict μεγαλύτερη ζημιά ή να επιτεθούν σε άλλους υπολογιστές. Αυτό το είδος επίθεσης περιλαμβάνει δραστηριότητες όπως η εκκίνηση μία ή περισσότερες διαδικασίες ή χρησιμοποιώντας τις θύρες TCP και UDP ή και τα δύο. Εκτός και αν ένας εισβολέας αποκρύπτει από τον υπολογιστή που βασίζεται στα Windows, η ίδια αυτή η δραστηριότητα, να καταγράφετε και να αναγνωρίσετε αυτήν τη δραστηριότητα. Επομένως, αναζητώντας ενδείξεις αυτού του είδους της δραστηριότητας βοηθούν να προσδιορίσετε εάν ένα σύστημα είναι ευάλωτο.

Το εργαλείο αναφοράς θύρας είναι ένα πρόγραμμα που μπορεί να εκτελείται ως υπηρεσία σε έναν υπολογιστή που εκτελεί τον Microsoft Windows Server 2003, Microsoft Windows XP ή τα Windows 2000. Η υπηρεσία αναφοράς θύρας καταγράφει δραστηριότητα θύρας TCP και UDP. Σε υπολογιστές που βασίζονται σε Windows Server 2003 και που βασίζεται σε Windows XP, η υπηρεσία αναφοράς θύρας μπορεί να συνδεθεί τις ακόλουθες πληροφορίες:
  • Οι θύρες που χρησιμοποιούνται
  • Οι διαδικασίες που χρησιμοποιούν τη θύρα
  • Εάν μια διαδικασία είναι μια υπηρεσία
  • Οι λειτουργικές μονάδες (.dll, .drv, κλπ.) η που φορτώνει μια διαδικασία
  • Οι λογαριασμοί χρηστών που ξεκινά μια διαδικασία
Τα δεδομένα που καταγράφονται από την υπηρεσία αναφοράς θύρας μπορεί να σας βοηθήσουν να προσδιορίσετε αν ένας υπολογιστής είναι ευάλωτος. Τα ίδια δεδομένα είναι επίσης χρήσιμη για την αντιμετώπιση προβλημάτων, για να αποτραπεί η κατανόηση της χρήσης της θύρας του υπολογιστή και για τον έλεγχο της συμπεριφοράς του υπολογιστή.

PR ανάλυσης είναι ένα εργαλείο που αναλύει τα αρχεία καταγραφής που δημιουργούνται από την υπηρεσία αναφοράς της θύρας.Για πρόσθετες πληροφορίες σχετικά με την υπηρεσία αναφοράς της θύρας, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
837243Διαθεσιμότητα και την περιγραφή του εργαλείου αναφοράς των θυρών
Το εργαλείο ανάλυσης PR παρέχει τις ακόλουθες τρεις βασικές λειτουργίες:
  • Το εργαλείο ανάλυσης PR έχει ένα Windows με γραφικά User Interface (GUI) που σας διευκολύνει να αναθεωρήσετε τα αρχεία καταγραφής. Χρησιμοποιώντας το GUI, μπορείτε να ταξινομήσετε και να φιλτράρετε τα δεδομένα με διάφορους τρόπους.
  • Το εργαλείο ανάλυσης PR σάς βοηθά να προσδιορίσετε και να φιλτράρετε τα δεδομένα που σας ενδιαφέρουν. Το εργαλείο παρέχει τις ακόλουθες λειτουργίες:
    • Προσδιορίζει τις διαδικασίες που σάς ενδιαφέρουν που εκτελούνται σε έναν υπολογιστή
    • Προσπαθεί να αναγνωρίσει όταν εκτελείται μια διαδικασία που χρησιμοποιεί το όνομα μιας διαδικασίας νόμιμο από το λάθος φάκελο σε έναν υπολογιστή
    • Identifies the modules, such as .dll and .drv, that are loaded on a computer
    • Helps determine the time when the Internet Protocol (IP) addresses, fully qualified domain names (FQDNs), or computer names that you are interested in are communicating with a computer
    • Identifies the ports that are used on a computer
    • Helps determine when the user accounts are active on a computer
  • The PR-Parser tool provides some log analysis data also. This data can help you understand the usage of a computer. This data includes the following:
    • A ranked list of local Transmission Control Protocol (TCP) port usage
    • A ranked list of local process usage
    • A ranked list of remote IP address usage
    • A ranked list of user context usage
    • Svchost.exe service enumeration
    • Port usage by hour of the day
    • Microsoft Internet Explorer usage by user

Windows GUI to review the logs

The Port Reporter tool creates the following three log files when the tool runs:
  • PR-PORTS-Σήμανση χρόνου.log
  • PR-PIDS-Σήμανση χρόνου.log
  • PR-INITIAL-Σήμανση χρόνου.log
The name of each log file uses the date and the time in 24-hour format that is based on the time when the file was created. The format of the date and time stamp is year-month-day-hour-minute-second. For example, the following three files were created on January 24, 2004, at 8:49:30 A.M.:
  • PR-PORTS-04-01-24-8-49-30.log
  • PR-PIDS-04-01-24-8-49-30.log
  • PR-INITIAL-04-01-24-8-49-30.log
When you open a log file with the PR-Parser tool, the Windows GUI of the PR-Parser tool provides the following information:
  • The title bar of the main form mentions the file name of the log file that is currently open.
  • The timestamps of the first and last records in the log file are displayed.
  • The number of records that are currently displayed is listed.
  • The log entries are displayed in a grid on the main form.
ΣΗΜΕΙΩΣΗIn the grid on the main form, you may not see the columns that are related to process details if the PR-Parser tool is running from a computer that does not support port-to-process mapping. Για παράδειγμαPID,ModuleANDΛογαριασμόςare the columns that are related to process details. Windows 2000 does not support port-to-process mapping. Therefore, on a Windows 2000-based computer, you cannot see those columns.

The Windows GUI of the PR-Parser tool provides the following features:
  • Details of a log entry appear in a grid. If you double-click a row in the grid on the main form or right-click a row, and then clickΙδιότητες (Properties), the details of the log entry are displayed. This feature is only available when you examine log files on a computer whose operating system supports port-to-process mapping. As of September 2004, only Windows Server 2003 and Windows XP support this feature.
  • You can sort the data in the grid on the main form in ascending or descending order by any column. If you click a column header, the tool sorts the data in the grid on the main form in ascending order by that column. If you click the column header again, the tool sorts the data in descending order. An arrow appears in a column header when data is sorted by that column. The arrow also indicates the sort order. If you want to restore the grid to its original sort order, clickReset grid to default sortΣτο διακομιστήΕπεξεργαστείτε τη διαδρομήΜενού (Menu).
  • You can use either of the following methods to filter the data in the grid on the main form:
    • Στο διακομιστήΕπεξεργαστείτε τη διαδρομήμενού, σημείοΦίλτρα, και στη συνέχεια κάντε κλικ στο κουμπίFilter data. Για ναFilter Grid Dataεμφανίζεται το παράθυρο διαλόγου. You can select a column as the filter data and provide a filter criterion. After you select and apply the criteria, the filtered data appears in the data grid.
    • Right-click a cell whose value is the criteria for the filter in the grid on the main form, point toΦίλτρο: (IKE security association ended. Mode: Key Exchange (Main mode) Filter: %1), and then click the appropriate filter, based on whether you want to filter all the rows without this value or all the rows with this value.
  • You can copy the contents of a cell or copy the contents of all the cells in a row. To copy the contents of a cell, right-click a cell, and then clickΑντιγραφή. To copy the contents of all the cells in a row, right-click the row-header, and then clickΑντιγραφή.
  • You can resolve remote IP addresses that appear in theRemote IPcolumn to their corresponding names. A list of all IP addresses and their associated names is displayed in the grid after the PR-Parser tool finishes the operation. This list does not contain duplicates. You can use either of the following methods to resolve remote IP addresses:
    • Στο διακομιστήΕργαλείαμενού, κάντε κλικ στο κουμπίResolve all remote IPsto resolve all the remote IP addresses.
    • Right-click a cell, and then clickResolve Remote IP Addressto resolve the IP address that is selected.
    Depending on the number of IP addresses that you resolve, this operation can take several minutes to complete. The DNS cache on the client is used to avoid sending queries to the network that have already been answered.

    ΣΗΜΕΙΩΣΗΗ ταχύτητα και η επιτυχία της αυτή η λειτουργία εξαρτάται από την υποδομή ανάλυσης ονόματος στο δίκτυο. Η ταχύτητα και η επιτυχία της λειτουργίας αυτής εξαρτάται επίσης αν οι εγγραφές αντίστροφης αναζήτησης είναι διαθέσιμες για κάθε διεύθυνση IP.
  • Μπορείτε να μεταφέρετε σάρωση ενός απομακρυσμένου υπολογιστή χρησιμοποιώντας το βοηθητικό πρόγραμμα γραμμής εντολών το Portqry.exe. Το Portqry.exe είναι μια ισχυρή συνδεσιμότητα γραμμής εντολών δοκιμή εργαλείο που μπορεί να δημιουργεί χρήσιμες πληροφορίες σχετικά με τις θύρες TCP και UDP.

    Το εργαλείο ανάλυσης PR παρέχει μια διασύνδεση χρήστη για να χρησιμοποιήσετε το βοηθητικό πρόγραμμα το Portqry.exe. Αυτή η δυνατότητα μπορεί να σας βοηθήσει να προσδιορίσετε τον τύπο του απομακρυσμένου υπολογιστή και τις υπηρεσίες που παρέχει στον απομακρυσμένο υπολογιστή. Θύρα σάρωση σε απομακρυσμένο υπολογιστή, κάντε δεξιό κλικ σε ένα κελί και στη συνέχεια κάντε κλικ στο κουμπίΑπομακρυσμένη διεύθυνση IP PortQry.Για πρόσθετες πληροφορίες σχετικά με το βοηθητικό πρόγραμμα γραμμής εντολών το Portqry.exe, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    310099Περιγραφή του βοηθητικού προγράμματος γραμμής εντολών Portqry.exe
    ΣΗΜΕΙΩΣΗΌταν εγκατασταθεί το εργαλείο ανάλυσης PR, το αρχείο το Portqry.exe αντιγράφεται στον ίδιο φάκελο όπου είναι αποθηκευμένο το αρχείο Prparser.exe.

Αναγνώριση ύποπτων δεδομένα ή δεδομένα που σας ενδιαφέρουν

Μπορείτε να χρησιμοποιήσετε το εργαλείο ανάλυσης PR να παρακολουθείτε διάφορα σημεία δεδομένων, συμπεριλαμβανομένων των λειτουργικών μονάδων, διευθύνσεις IP, θύρες, οι χρήστες και ονόματα κεντρικών υπολογιστών. Χρησιμοποιώντας το εργαλείο ανάλυσης PR, μπορείτε να προσδιορίσετε γρήγορα σε αν όλες τις καταχωρήσεις του αρχείου καταγραφής σε ένα αρχείο καταγραφής θύρας αναφοράς συμφωνούν με τα κριτήρια που το εργαλείο ανάλυσης PR έχει ρυθμιστεί ώστε να αναζητήσετε. Μπορείτε να ρυθμίσετε τις παραμέτρους αυτών των κριτηρίων με το GUI του εργαλείου ανάλυσης PR και στη συνέχεια να ενημερώσετε ώστε να περιλαμβάνει χαρακτηριστικά για νέες συνθήκες που επιλέγετε.

Για να προβάλετε, προσθήκη, ή να διαγράψετε κριτήρια, κάντε κλικ στοΡυθμίσεις κριτήριαΣτο διακομιστήΕπεξεργαστείτε τη διαδρομήΜενού (Menu).

The following are the six criteria that can be set in the PR-Parser tool to identify suspicious data or data that you are interested in.

Tracking known modules

Tracking known modules lets you identify executable files that use the names of legitimate binary files and that run or are loaded from a wrong folder. For example, a popular name for malicious software is Svchost.exe. The legitimate Svchost.exe runs from the %windir%\System32 folder. When malicious software is named Svchost.exe and is copied to the %windir% folder, it can be difficult to see that this binary file is running from the wrong folder. If Svchost.exe is running from a folder other than the System32 folder, the computer may be vulnerable to attack. The PR-Parser tool identifies this kind of problem.

Note that, generally, some modules run from more than one location. You must review any PR-Parser warnings to determine whether the warning is a false positive or whether something irregular has been found. When you want to examine Port Reporter log files from different computers, you may have to override the local computer's folder settings because the computers may have different folder structures. For example, %systemroot% and %windir% point to different locations on different computers. In this case the PR-Parser tool may identify many files running in the wrong folder because the PR-Parser tool resolves these variables using the folder structure in the local computer where the PR-Parser tool is running. To compensate for this kind of difference between computers, you can override this behavior and set the PR-Parser tool to resolve these environmental variables. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα: (Use the tools in the Windows Recovery Environment to repair Windows Vista. To do this, follow these steps:):
  1. Στο διακομιστήΕπεξεργαστείτε τη διαδρομήμενού, κάντε κλικ στο κουμπίCriteria Settings.
  2. Στο διακομιστήKnown Modulesκαρτέλα, κάντε κλικ στο κουμπίΡΥΘΜΙΣΕΙΣ ΠΑΡΑΜΕΤΡΩΝ.
  3. Κάντε κλικOverride local system's directory settings.
This lets you override the way that the PR-Parser tool resolves the environmental variables.

Λειτουργικές μονάδες

The PR-Parser tool can quickly determine whether the modules that you are interested in are found in the Port Reporter log files. To add modules to the list of modules that you are interested in, follow these steps:
  1. Στο διακομιστήΕπεξεργαστείτε τη διαδρομήμενού, κάντε κλικ στο κουμπίCriteria Settings.
  2. Κάντε κλικ στην καρτέλαΛειτουργικές μονάδεςTAB.
  3. Κάντε κλικADD.
  4. Type the name of the module that you are interested in, and then clickOkto add the module to theModules to Look ForΛίστα (List).
Similarly, you can delete the modules that are added to theModules to Look ForΛίστα (List).

When the PR-Parser tool finds a module in a log file that you are interested in, it displays the entry in red in the grid on the main form. For example, the Netcat.exe tool is a tool that administrators may or may not want users to use on their network. It can be identified in Port Reporter logs if the Netcat.exe tool is run by using its original name.

Double-click a line that is selected to see the details. ΑPort Reporter Parser - Log Entry Detailsdialog box opens and provides the details about the process, about the ports that are used, and about the modules that are loaded. The PR-Parser also provides a warning. Στο διακομιστήPort Reporter Parser - Log Entry Detailsdialog box, if you right-click the process name, the PR-Parser tool provides options for researching the "interesting" or suspicious process.

ΣΗΜΕΙΩΣΗYou cannot see the details of a log entry on a Windows 2000-based computer.

IP addresses

The PR-Parser tool can identify IP addresses that you are interested in in Port Reporter log files. To specify the IP addresses, follow these steps:
  1. Στο διακομιστήΕπεξεργαστείτε τη διαδρομήμενού, κάντε κλικ στο κουμπίCriteria Settings.
  2. Κάντε κλικ στην καρτέλαIP AddressesTAB.
  3. Κάντε κλικADD.
  4. Type the IP address that you are interested in, and then clickOkto add the IP address to theIP Addresses to Look ForΛίστα (List).
Similarly, you can also delete the IP addresses that are added to theIP Addresses to Look ForΛίστα (List).

After you add an IP address in the IP Addresses criteria and then apply the criteria, the specified IP address is displayed in the grid on the main form.

Θύρες

Network administrators use firewall logs to determine which programs are running on their networks and which endpoints are used when the programs communicate. The PR-Parser tool can help you determine which ports are being used by a program and can quickly identify the ports that you are interested in. Many viruses, worms, malicious programs, and tools that are used by malicious users use the same ports every time they run. The PR-Parser tool can identify any ports that are listed in the ports criteria list.

To modify this list, follow these steps:
  1. Στο διακομιστήΕπεξεργαστείτε τη διαδρομήμενού, κάντε κλικ στο κουμπίCriteria Settings.
  2. Κάντε κλικ στην καρτέλαΘύρεςTAB.
  3. Κάντε κλικADD.
  4. Type the name of the port and the protocol that you are interested in, and then clickOkto add the port information to thePorts to Look ForΛίστα (List).
Similarly, you can delete the ports that are added to thePorts to Look ForΛίστα (List).

Note that legitimate programs may use the same ports that malicious programs use. You must investigate each warning that the PR-Parser tool generates to determine whether the warning is generated because of an operation that is not regular.

User accounts

The PR-Parser tool lets you identify user accounts that you are interested in in Port Reporter log files. To specify the user accounts, follow these steps:
  1. Στο διακομιστήΕπεξεργαστείτε τη διαδρομήμενού, κάντε κλικ στο κουμπίCriteria Settings.
  2. Κάντε κλικ στην καρτέλαΛογαριασμοί χρηστών (User Accounts)TAB.
  3. Κάντε κλικADD.
  4. Type the user account that you are interested in, and then clickOkto add the user account to theUser Accounts to Look ForΛίστα (List).
Similarly, you can delete the user accounts that are added to theUser Accounts to Look ForΛίστα (List).

After you add a user in the user accounts criteria, the specified user account is displayed in the grid on the main form.

Host names

The PR-Parser tool tries to resolve remote IP addresses that are found in the logs to host names. The success of the resolution depends on factors such as correctly configured TCP/IP settings, DNS settings, an operational name resolution infrastructure, and IP addresses to name mappings. To reduce the number of queries that are sent to the network, the PR-Parser tool has a name cache and also uses the name caches of the client. To specify these names, follow these steps:
  1. Στο διακομιστήΕπεξεργαστείτε τη διαδρομήμενού, κάντε κλικ στο κουμπίCriteria Settings.
  2. Κάντε κλικ στην καρτέλαHost NamesTAB.
  3. Κάντε κλικADD.
  4. Type the host name that you are interested in, and then clickOkΓια να προσθέσετε το όνομα του κεντρικού υπολογιστή για τοΟνόματα κεντρικών υπολογιστών για την αναζήτηση γιαΛίστα (List).
Εάν το εργαλείο ανάλυσης PR επιλύσει με επιτυχία τις διευθύνσεις IP σε ονόματα κεντρικών υπολογιστών, το εργαλείο προσδιορίζει τα ονόματα κεντρικών υπολογιστών που ταιριάζουν με τα ονόματα που βρίσκονται στη λίστα κριτηρίων ονόματα κεντρικού υπολογιστή και στη συνέχεια εμφανίζει τα ονόματα κεντρικού υπολογιστή.

Εφαρμόζοντας τα κριτήρια

Εάν θέλετε να καθορίσετε τα κριτήρια για το αρχείο καταγραφής που είναι ανοιχτά, μπορείτε να χρησιμοποιήσετε τοΕφαρμογή κριτηρίωνεπιλογή από τοΕργαλείαΜενού (Menu). Το εργαλείο ανάλυσης PR αναλύει το αρχείο καταγραφής για να αναζητήσετε εγγραφές που ικανοποιούν τα κριτήρια. Εάν βρεθεί μια αντιστοιχία, το εργαλείο ανάλυσης PR εμφανίζει το πεδίο που ταιριάζει. Λεπτομέρειες, όπως η φόρτωση λειτουργικών μονάδων, δεν εμφανίζονται στο πλέγμα στην κύρια φόρμα. Αυτές οι λεπτομέρειες είναι διαθέσιμες μόνο όταν προβάλετε τις λεπτομέρειες της εγγραφής.

Όταν το εργαλείο ανάλυσης PR εντοπίσει ότι μια λειτουργική μονάδα που σάς ενδιαφέρουν φορτώθηκε ή ότι μια λειτουργική μονάδα που χρησιμοποιεί ένα νόμιμο όνομα φορτώθηκε από το φάκελο λάθος, το εργαλείο δεν εμφανίζει αυτές τις πληροφορίες στο πλέγμα της κύριας φόρμας. Αυτό συμβαίνει επειδή το εργαλείο ανάλυσης PR δεν εμφανίζει τα πεδία. Για να εντοπίσετε όλες τις γραμμές που περιέχουν τα δεδομένα που ικανοποιούν τα κριτήρια, ακόμη και σε λεπτομέρειες για μια καταχώρηση, πρέπει να φιλτράρετε τα δεδομένα. Για να το κάνετε αυτό, επιλέξτεΦίλτραΣτο διακομιστήΕπεξεργαστείτε τη διαδρομήμενού και στη συνέχεια κάντε κλικΕμφανίσετε μόνο τις γραμμές με δεδομένα "Ενδιαφέροντα". Αυτή η δυνατότητα σας επιτρέπει να καθορίσετε αν όλες τις καταχωρήσεις αρχείου καταγραφής που συμφωνούν με τα κριτήρια που ορίζετε. Η λίστα που προκύπτει, που μπορεί να είναι κενή περιέχει όλες τις γραμμές όπου δεδομένα συμφωνούν με τα κριτήρια, συμπεριλαμβάνοντας λεπτομέρειες όπως οι λειτουργικές μονάδες. Για ναΕμφανίσετε μόνο τις γραμμές με δεδομένα "Ενδιαφέροντα"η επιλογή δεν είναι διαθέσιμη μέχρι ένα κριτήριο που έχει εφαρμοστεί στα δεδομένα. Αφού κάνετε κλικ στο κουμπίΕφαρμογή κριτηρίωνΣτο διακομιστήΕργαλείαμενού, τοΕμφανίσετε μόνο τις γραμμές με δεδομένα "Ενδιαφέροντα"η επιλογή είναι διαθέσιμη.

Ανάλυση των αρχείων καταγραφής και τη δημιουργία δεδομένων

Το εργαλείο ανάλυσης PR μπορεί επίσης να δημιουργήσει καταγραφής ανάλυσης δεδομένων που μπορεί να είναι χρήσιμη για τους διαχειριστές του υπολογιστή και οι διαχειριστές δικτύου. Επτά συνόλων δεδομένων δημιουργούνται από τα αρχεία καταγραφής της θύρας αναφοράς των υπολογιστών που βασίζεται σε Windows Server 2003 ή τα Windows XP. Επειδή το εργαλείο αναφοράς των θυρών δεν πραγματοποιεί αντιστοίχιση θύρας διαδικασία σε υπολογιστές που βασίζονται στα Windows 2000, ορισμένα από αυτά τα στατιστικά στοιχεία δεν μπορούν να δημιουργηθούν από τα αρχεία καταγραφής από αυτούς τους υπολογιστές. Για να αναλύσετε τα αρχεία καταγραφής και δημιουργία εξόδου, κάντε κλικ στο κουμπίΤα δεδομένα αρχείου καταγραφής ανάλυσηςΣτο διακομιστήΕργαλείαΜενού (Menu).

Παρακάτω δίνονται τα επτά σύνολα δεδομένων που δημιουργούνται από το εργαλείο ανάλυσης PR:

Τοπική χρήση των θυρών TCP

Αυτό το σύνολο δεδομένων περιλαμβάνει τον αριθμό των φορών που έχει καταγραφεί κάθε θύρα TCP από το εργαλείο αναφοράς των θυρών. Αυτό το είδος δεδομένων μπορεί να είναι χρήσιμο όταν θέλετε να προσδιορίσετε ποιες θύρες θα ανοίξει μεταξύ των δευτερευόντων δικτύων ή από το Internet. Αυτά τα δεδομένα σας δίνει μια ιδέα για το πόσο συχνά τις θύρες που χρησιμοποιούνται από κάθε υπολογιστή. Τα δεδομένα περιέχουν μιαΠοσοστό αθροίσματοςη τιμή σε σχέση με κάθε καταχώρηση. Η τιμή αυτή υπολογίζεται διαιρώντας τον αριθμό των φορών που κάθε θύρα που χρησιμοποιείται από το συνολικό πλήθος των περιπτώσεων όλες τις θύρες που χρησιμοποιούνται.

Η διαδικασία χρήσης

Μπορείτε να χρησιμοποιήσετε αυτά τα δεδομένα ανάλυσης χρήσης διαδικασία στους υπολογιστές. Για παράδειγμα, τα προγράμματα που χρησιμοποιεί ο υπολογιστής, πόσο συχνά είναι συνδεδεμένοι με το εργαλείο αναφοράς των θυρών και των προγραμμάτων που χρησιμοποιούνται πιο Γενικά. Τα δεδομένα περιέχουν μιαΠοσοστό αθροίσματοςη τιμή για κάθε εγγραφή. Η τιμή αυτή υπολογίζεται διαιρώντας τον αριθμό των φορών που καταγράφεται κάθε διεργασία από το συνολικό πλήθος των περιπτώσεων, καταγράφονται όλες οι διαδικασίες. This data is not available for Windows 2000-based computers.

Svchost.exe enumeration

The PR-Parser tool can identify all services that are hosted by the Svchost.exe process. This information is required to determine the programs that are running on a computer.

Remote IP address usage

This data set shows the IP addresses and may show the host names that the computer has been communicating with. The list is ranked so that you can see which computers communicate frequently.

You can right-click the grid and then select an option to resolve the IP addresses to their corresponding host names. The PR-Parser tool tries to resolve the names by using the network and DNS settings on the computer where the PR-Parser tool is running.

User context usage

This data set shows a ranked list of user accounts that were used in the Port Reporter log file. You can use this to determine which user accounts have been used on a computer. This data is not available for Windows 2000-based computers.

Port usage by hour

This data set provides a breakdown of port usage per hour over the time that the Port Reporter log file data was collected. You can use this data to understand the peak times for a computer and to understand whether ports are used at unexpected times.

ΣΗΜΕΙΩΣΗBy default, the Port Reporter collects data for 24 hours.

Iexplore.exe usage

This data set enumerates the endpoints that Microsoft Internet Explorer visited. This data is broken down on a user-by-user basis so that the usage of Internet Explorer for each user can be profiled. You can use this data to determine which sites users visited or which firewalls the computer used to access the Internet.

You can right-click the form to see related information. Each IP address that is listed can be resolved to a host name. Therefore, the corresponding name of each site or firewall can be identified.

You can also use the Portqry.exe utility to query the ports on the computers that are identified in this list. To save the log analysis data to a text file, clickΑποθήκευση (Save)ΣτοLog Analysis Data for logπαράθυρο διαλόγου.

Ιδιότητες

Αναγν. άρθρου: 884289 - Τελευταία αναθεώρηση: Πέμπτη, 23 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Λέξεις-κλειδιά: 
kbreadme kbsectools kbmisctools kbipsec kbhowto kbinfo kbmt KB884289 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:884289

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com