Описание средства Port Reporter Parser (PR-Parser)

Переводы статьи Переводы статьи
Код статьи: 884289 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Статья содержит сведения об использовании средства Port Reporter Parser (PR-Parser). В этой статье описываются следующие вопросы, относящиеся к средство PR-Parser:
  • Общие сведения
  • Графический Интерфейс Microsoft Windows для просмотра журналов
  • Идентификация подозрительные данные или данные, которые вы заинтересованы в
  • Анализ журналов и создание данных

ВВЕДЕНИЕ

Статья содержит сведения об использовании средства Port Reporter Parser (PR-Parser). PR-Parser-это средство анализирует журналы, создаваемые службой Port Reporter. Средство PR-Parser располагает многими расширенными функциями, которые могут помочь в анализе файлов журнала службы Port Reporter. PR-Parser можно использовать со средством Port Reporter в нескольких сценариях, связанных с безопасностью и устранения неполадок. Данная статья посвящена использованию средство PR-Parser в ситуациях, связанных с безопасностью.

Чтобы получить средство PR-Parser, посетите следующий веб-узел корпорации Майкрософт:
http://download.Microsoft.com/download/2/8/8/28810043-0e21-4004-89a3-2f477a74186f/PRParser.exe

Дополнительная информация

Общие сведения

Когда Microsoft Windows на компьютер становится уязвимым, злоумышленник обычно использует ресурсы компьютера под управлением Windows более повредить или атак на другие компьютеры. Атак этого типа обычно включает в себя действия, такие как запуск одного или нескольких процессов, или с помощью портов TCP и UDP или оба. Если злоумышленник скрывает это действие из самого компьютера под управлением Windows, позволяет собирать и идентификации этой деятельности. Таким образом для определения подключения такого рода деятельности может помочь определить, подвержена ли система.

Средства Port Reporter-это программа, можно запустить в качестве службы на компьютере под управлением Microsoft Windows Server 2003, Microsoft Windows XP или Microsoft Windows 2000. Служба Port Reporter заносит в журнал активности порта TCP и UDP. На компьютерах под управлением Windows Server 2003 и Windows XP, на службу Port Reporter можно записывать следующие сведения:
  • Используемые порты
  • Процессы, использующие порт
  • Является ли процесс службы
  • Модули (DLL, .drv и т. д.), процесс загрузки
  • Учетные записи пользователей, запуск процесса
Данные, записанные службой Port Reporter может помочь определить, является ли компьютер уязвимым. Те же данные также полезна для устранения неполадок, дает представление об использовании порта компьютера, а также аудит поведение компьютера.

PR-Parser-это средство анализирует журналы, создаваемые службой Port Reporter.Для получения дополнительных сведений о службе Port Reporter обратитесь к следующей статье базы знаний Майкрософт:
837243Доступность и описание средства Port Reporter
Средство PR-Parser предоставляет три основные функции:
  • Средство PR-Parser обладает Windows графического пользовательского интерфейса GUI, упрощает просмотр журналов. С помощью графического интерфейса пользователя, можно сортировать и фильтровать данные несколькими способами.
  • Средство PR-Parser поможет определить и фильтровать данные, которые вас интересуют. Это средство предоставляет следующие возможности:
    • Определяет процессы, которые вас интересуют, запущенных на компьютере
    • Пытается определить процесс, использующий имя законный процесс, который при выполнении из ту папку на компьютере
    • Идентифицирует модули, например .dll или .drv, которые загружаются на компьютер
    • Помогает определить время, когда адреса протокола IP (Internet Protocol), полные доменные имена (FQDN) или имена компьютеров, которые интересуют обмениваются данными с компьютером
    • Определяет порты, используемые на компьютере
    • Помогает определить, когда активны учетные записи пользователей на компьютере
  • Средство PR-Parser также предоставляет некоторые данные анализа журнала. Эти данные помогут вам лучше понять использование компьютера. Эти данные включают следующее:
    • Список востребованных использование локального порта Transmission Control Protocol (TCP)
    • Список востребованных использование локального процесса
    • Список востребованных пульт дистанционного управления IP адрес
    • Список востребованных использование контекста пользователя
    • Перечисление Svchost.exe службы
    • Использование порта на час дня
    • Использование обозревателя Microsoft Internet Explorer, пользователь

Графический Интерфейс Windows для просмотра журналов

Средство, средства Port Reporter создает три следующие файлы:
  • PR-PORTS -Timestamp.LOG
  • PR-PIDS -Timestamp.LOG
  • PR-INITIAL -Timestamp.LOG
Имя каждого файла журнала используется дата и время в 24-часовом формате, который основан на время создания файла. Год-месяц-день-часы-минуты-секунды формат штампа даты и времени. Например в 49 по 24 января 2004 г. были созданы следующие три файла:
  • PR-PORTS-04-01-24-8-49-30.log
  • PR-PIDS-04-01-24-8-49-30.log
  • PR-INITIAL-04-01-24-8-49-30.log
При открытии файла журнала с помощью средства PR-Parser графического интерфейса пользователя Windows, средство PR-Parser отображается следующая информация:
  • Заголовок главной формы упоминания, откройте файл имя файла журнала, который в данный момент.
  • Отображаются метки времени первой и последней записи в файл журнала.
  • Отображается число записей, отображаемых в текущий момент.
  • Записи журнала, которые отображаются в сетке в главной форме.
Примечание В сетке в главной форме может не отображаться столбцы, относящиеся к обработки сведений, если запущено средство PR-Parser из компьютера, который не поддерживает сопоставление портов для процесса. Например, КОД ПРОДУКТА, Модуль, и Учетная запись являются столбцы, относящиеся к обработке сведений. Windows 2000 не поддерживает сопоставление портов для процесса. Таким образом на компьютере под управлением Windows 2000, не могут видеть эти столбцы.

Средство PR-Parser графический Интерфейс Windows предоставляет следующие возможности:
  • Сведения о записи журнала отображаются в сетке. Если дважды щелкнуть строку в сетке в главной форме или щелкните правой кнопкой мыши строку, а затем нажмите кнопку Свойства, выводятся сведения о записи в журнал. Эта функция доступна только при проверке файлов журнала на компьютере, на которой операционная система поддерживает сопоставление портов для процесса. По состоянию на сентябрь 2004 года Данная возможность поддерживается только в Windows Server 2003 и Windows XP.
  • Можно сортировать данные в сетке на главную форму в возрастающем или убывающем порядке по любому столбцу. Если щелкнуть заголовок столбца, средство сортирует данные в сетке на главную форму в возрастающем порядке по этому столбцу. Если щелкнуть заголовок столбца, программа сортирует данные в порядке убывания. Данные сортируются по столбцу в заголовке столбца появится стрелка. Стрелка также указывает порядок сортировки. Если вы хотите восстановить его исходный порядок сортировки сетки, щелкните Сброс сетки для сортировки по умолчанию В меню Редактирование меню.
  • Для фильтрации данных в сетке в форме можно использовать один из следующих способов:
    • На Редактирование Выберите пункт Фильтры, а затем нажмите кнопку Фильтрация данных. В Фильтровать данные сетки Появится диалоговое окно. Можно выбрать столбец как фильтровать данные и обеспечивают критерия фильтра. После выбора и применения критериев отфильтрованных данных отображается в сетке данных.
    • Щелкните правой кнопкой мыши ячейку, значение которого равно критерии фильтра в сетке в главной форме, выберите пункт Фильтр, а затем выберите необходимый фильтр, в зависимости от того, нужно ли фильтровать все строки без этого значения или все строки, содержащие это значение.
  • Можно скопировать содержимое ячейки или скопируйте содержимое всех ячеек в строке. Чтобы скопировать содержимое ячейки, щелкните правой кнопкой мыши ячейку и нажмите кнопку Копировать. Чтобы скопировать содержимое всех ячеек в строке, щелкните правой кнопкой мыши заголовок строки и нажмите кнопку Копировать.
  • Разрешить IP-адресов, которые отображаются в Удаленный IP столбец в их соответствующие имена. Средство PR-Parser по завершении операции в сетке отображается список всех IP-адресов и их соответствующие имена. Этот список не содержит повторяющиеся значения. Для разрешения IP-адресов можно использовать любой из следующих методов:
    • На Сервис меню, нажмите кнопку Разрешение всех удаленных IP-адресов для устранения всех удаленных IP адресов.
    • Щелкните правой кнопкой мыши ячейку и нажмите кнопку Разрешить удаленный IP-адрес Чтобы разрешить IP-адрес, который выбран.
    В зависимости от количества IP-адресов, которые можно устранить эта операция может занять несколько минут. Кэш DNS на клиенте позволяет избежать отправки запросов к сети, которые уже получены ответы.

    Примечание Скорость и успех этой операции зависит от инфраструктура разрешения имен в сети. Скорость и успех этой операции зависит также записи обратного просмотра доступны для каждого IP-адреса.
  • Можно переносить сканирование удаленного компьютера с помощью служебной программы командной строки Portqry.exe. PortQry.exe — это мощный командной строки подключения средство тестирования, которое может создавать полезные сведения о портах TCP и UDP.

    Средство PR-Parser предоставляет пользовательский интерфейс, чтобы программа Portqry.exe. Это средство может помочь определить тип сервисы, предоставляет удаленным компьютером и удаленным компьютером. Порт для проверки удаленного компьютера, щелкните правой кнопкой мыши ячейку и нажмите кнопку Программа PortQry удаленный IP-адрес.Для получения дополнительных сведений о средстве командной строки Portqry.exe щелкните следующий номер статьи базы знаний Майкрософт:
    310099Описание командной строки средства Portqry.exe
    Примечание После установки средство PR-Parser Portqry.exe файл копируется в папку, где хранится файл Prparser.exe.

Идентификация подозрительные данные или данные, которые вы заинтересованы в

Средство PR-Parser можно использовать для отслеживания нескольких точек данных, включая модули IP адреса, порты, пользователей и имен узлов. Используя средство PR-Parser, позволяет быстро определить, соответствуют ли все записи журнала в файл журнала Port Reporter критериям средство PR-Parser настроен на поиск. Можно настроить эти критерии в графическом Интерфейсе средство PR-Parser и затем обновить его, включив характеристики новых условий, которые выбираются.

Чтобы просмотреть, добавить, или удалите условие, нажмите кнопку Настройка критериев В меню Редактирование меню.

Ниже перечислены шесть критериев, которые можно установить в средство PR-Parser для обозначения подозрительные данные или данные, которые вас интересуют.

Отслеживание известные модулей

Отслеживание зарегистрированных модулей позволяет идентифицировать исполняемые файлы, которые используют имена двоичные файлы и, запуск или загружаются ту папку. Например популярные имя для вредоносных программ — Svchost.exe. Законные Svchost.exe выполняется в папке % windir%\System32. Когда вредоносные программы с именем Svchost.exe и копируется в папку % windir %, может быть сложно увидеть на выполнение этого двоичного файла в ту папку. Svchost.exe работает в другую папку в папку System32, компьютер может быть уязвим для атак. Средство PR-Parser идентифицирует подобного типа задачи.

Обратите внимание, что, как правило, запускать некоторые модули из более чем одного места. Необходимо проанализировать все предупреждения PR-Parser для определения того, является ли предупреждение срабатывание или ли что-нибудь нерегулярные был найден. При необходимости проверьте файлы журнала Port Reporter с разных компьютеров, необходимо переопределить параметры папки локального компьютера, так как компьютеры могут иметь различные папки структур. Например % systemroot % и % windir % точка в различных местах на разных компьютерах. В этом случае средство PR-Parser может идентифицировать много файлов работает в ту папку, так как средство PR-Parser устраняет эти переменные, используя структуру папок на локальном компьютере, где выполняется средство PR-Parser. Для компенсации такого рода различие между компьютерами, можно переопределить это поведение и установить средство PR-Parser для разрешения этих переменных среды. Чтобы сделать это, выполните следующие действия.
  1. На Редактирование меню, нажмите кнопку Настройка критериев.
  2. На Известные модулей Щелкните Конфигурация.
  3. Нажмите кнопку Переопределить параметры локального системного каталога.
Это позволяет переопределить способ, что средство PR-Parser разрешается переменные среды.

Модули

Средство PR-Parser может быстро определить, находятся ли модули, которые вас интересуют в файлах журнала Port Reporter. Чтобы добавить модули список модулей, которые вас интересуют, выполните следующие действия.
  1. На Редактирование меню, нажмите кнопку Настройка критериев.
  2. Нажмите кнопку Модули Вкладка.
  3. Нажмите кнопку Добавить.
  4. Введите имя модуля, в которых заинтересован в и нажмите кнопку ОК Добавление модуля Модули поиск информации список.
Аналогичным образом можно удалить модули, которые добавляются к Модули поиск информации список.

Когда средство PR-Parser ищет модуль в файле журнала, который вас интересует, запись отображается красным цветом в сетке в главной форме. Например, инструмент «Netcat.exe» — это средство, администраторы могут или могут запретить пользователям использовать в своей сети. Он может быть идентифицирован в журналах Port Reporter, если запущена программа Netcat.exe с использованием исходного имени.

Дважды щелкните линию, выбранного для просмотра подробной информации. A Port Reporter Parser - сведения О записи журнала диалоговое окно, подробные сведения о процессе, о портах, которые используются и модули, загруженные. PR-Parser также выводится предупреждение. На Port Reporter Parser - сведения О записи журнала диалоговое окно, если щелкнуть правой кнопкой мыши имя процесса, средство PR-Parser варианты исследование «интересных» или подозрительных процессов.

Примечание Не удается просмотреть сведения о записи журнала на компьютере под управлением Windows 2000.

IP-адреса

Средство PR-Parser можно определить IP-адреса, которые заинтересованы в журналах. Чтобы указать IP-адреса, выполните следующие действия.
  1. На Редактирование меню, нажмите кнопку Настройка критериев.
  2. Нажмите кнопку IP-адреса Вкладка.
  3. Нажмите кнопку Добавить.
  4. Введите IP-адреса, которые заинтересованы в и нажмите кнопку ОК Чтобы добавить IP-адрес, IP-адресов, поиск информации список.
Аналогичным образом можно также удалить IP-адресов, которые добавляются к IP-адресов, поиск информации список.

После добавления IP-адреса в критериях IP-адреса и затем применить критерии указанный IP-адрес отображается в сетке в главной форме.

Порты

Журналы брандмауэра использоваться администраторами сети для определения, какие программы работают в их сетях и какие используются при связи программы. Средство PR-Parser может помочь определить порты, используемые программы и можно быстро определить порты, которые вас интересуют. Многие вирусы, черви, вредоносных программ и средств, используемых злоумышленниками использовать те же порты при каждом их запуске. Средство PR-Parser можно идентифицировать все порты, перечисленные в списке условий портов.

Чтобы изменить этот список, выполните следующие действия.
  1. На Редактирование меню, нажмите кнопку Настройка критериев.
  2. Нажмите кнопку Порты Вкладка.
  3. Нажмите кнопку Добавить.
  4. Введите имя порта и протокола, которые заинтересованы в и нажмите кнопку ОК Чтобы добавить данные в порт Порты, чтобы искать список.
Аналогичным образом можно удалить порты, которые добавляются к Порты, чтобы искать список.

Обратите внимание на то, что подлинные программы могут использовать те же порты, которые используют вредоносных программ. Следует изучить в каждом предупреждении, определяет, создается ли предупреждение из-за операции, которая не является обычной создает средство PR-Parser.

Учетные записи пользователей

Средство PR-Parser позволяет указывать учетные записи пользователей, которые заинтересованы в журналах. Чтобы задать учетные записи пользователей, выполните следующие действия.
  1. На Редактирование меню, нажмите кнопку Настройка критериев.
  2. Нажмите кнопку Учетные записи пользователей Вкладка.
  3. Нажмите кнопку Добавить.
  4. Введите имя учетной записи пользователя интересует и нажмите кнопку ОК Добавление учетной записи пользователя Учетные записи "Искать" список.
Аналогичным образом можно удалить учетные записи пользователей, которые добавляются к Учетные записи "Искать" список.

После добавления пользователя в критериях учетные записи пользователя, указанной учетной записи пользователя отображается в сетке в главной форме.

Имена узлов

Средство PR-Parser пытается разрешить IP-адресов, найденных в журналы имен хостов. Успех разрешение зависит от таких факторов, как правильно настроенные параметры TCP/IP, параметры DNS, инфраструктура разрешения имен рабочих и IP-адреса для сопоставления имени. Чтобы уменьшить число запросов, отправленных в сеть, средство PR-Parser имеет кэш имен, а также использует кэши имя клиента. Чтобы задать эти имена, выполните следующие действия.
  1. На Редактирование меню, нажмите кнопку Настройка критериев.
  2. Нажмите кнопку Имена узлов Вкладка.
  3. Нажмите кнопку Добавить.
  4. Введите имя узла, которые заинтересованы в и нажмите кнопку ОК для добавления к имени узла Имена узлов для "Искать" список.
Если средство PR-Parser успешно IP-адресов в имена узлов, средство определяет имена узлов, которые совпадают с именами, которые находятся в списке критериев имена узлов и затем отображает имена узлов.

Применение критериев

Если требуется задать условие для файла журнала, открывается, можно использоватьПрименение условий параметр на Сервис меню. Средство PR-Parser выполняет синтаксический анализ файла журнала для поиска записей, отвечающих критериям. Если будет найдено средство PR-Parser отображает поле, которое сопоставляется. Такие сведения, как загруженные модули, не отображаются в сетке в главной форме. Эти сведения доступны только при просмотре сведений о записи.

Когда средство PR-Parser находит, что был загружен модуль, который вас интересует или что модуль, который использует юридического наименования был загружен в ту папку, средство не отображает эти сведения в сетке главной формы. Это обусловлено тем, что средство PR-Parser не отображаются поля. Чтобы идентифицировать все строки, содержащие данные, которые соответствуют критериям, даже в области сведений элемент, необходимо фильтровать данные. Для этого выберите пункт Фильтры В меню Редактирование меню, а затем нажмите кнопку Показывать только строки с данными «интересных». Эта функция позволяет определить, совпадает ли записи в журнале критериям, установленным. Полученный список, который может быть пустым, содержит все строки, где данные соответствуют критериям, включая такие сведения, как модули. В Показывать только строки с данными «интересных» параметр недоступен, пока условие применяется к данным. После нажатия кнопки Применение условий В меню Сервис меню Показывать только строки с данными «интересных» параметр доступен.

Анализ журналов и создание данных

Средство PR-Parser можно создать журнал анализа данных, может быть полезным для сетевых администраторов и администраторов компьютера. Семь наборов данных создается из журналов Port Reporter компьютеров под управлением Windows Server 2003 или Windows XP. Поскольку средства Port Reporter не выполняет сопоставление портов процессам на компьютерах под управлением Windows 2000, некоторые из этих данных не могут быть созданы из журналов с этих компьютеров. Проанализируйте журналы и создания выходных данных, нажмите кнопку Анализ данных журнала В меню Сервис меню.

Ниже приведены семь наборов данных создается средство PR-Parser.

Использование локального порта TCP

Этот набор данных включает несколько раз каждый порт TCP были записаны с помощью средства Port Reporter. Этот тип данных может пригодиться определить, какие порты будут открыты между подсетями или выход в Интернет. Эти данные дает представление о том, как часто используются порты с каждого компьютера. Содержит данные Процент суммы значение для каждой записи. Это значение вычисляется путем деления количества каждого порта используется общее число раз, все порты используются.

Использование процесса

Эти данные можно использовать для анализа процесса использования на компьютерах. Например, программы, используемые компьютером, как часто они вошли средства Port Reporter, а также программы, которые обычно используются. Содержит данные Процент суммы значение для каждой записи. Это значение вычисляется путем деления числа раз регистрируется каждый процесс по общему количеству раз регистрируются все процессы. Эти данные не доступны для компьютеров под управлением Windows 2000.

Svchost.exe перечисления

Средство PR-Parser можно идентифицировать всех служб, размещенных в процессе Svchost.exe. Данная информация необходима для определения программ, запущенных на компьютере.

Пульт дистанционного управления IP адрес

Этот набор данных показывает IP-адресов и может показывать имена узлов, что компьютер связи с. Список ранг, таким образом, чтобы увидеть, какие компьютеры часто обмениваться данными.

Можно правой кнопкой мыши сетку, а затем выберите параметр, чтобы разрешить IP-адреса в их соответствующие имена узлов. Средство PR-Parser пытается выполнить разрешение имен с помощью сети и настройки DNS на компьютере, где выполняется средство PR-Parser.

Использование контекста пользователя

Этот набор данных й список учетных записей пользователей, которые использовались в файле журнала Port Reporter. Можно использовать для определения использовали учетные записи пользователей на компьютере. Эти данные не доступны для компьютеров под управлением Windows 2000.

Использование порта на час

Этот набор данных содержит классификацию использование портов в час со временем, собранные данные журнала Port Reporter. Эти данные можно использовать для понимания Пиковая для компьютера и понять, используются ли порты в непредвиденное время.

Примечание По умолчанию Port Reporter собирает данные в течение 24 часов.

Использование iexplore.exe

Этот набор данных перечисляет конечных точек, которые посетил Microsoft Internet Explorer. Эти данные разбиты на основе пользователя по таким образом, можно профилировать сведений об использовании обозревателя Internet Explorer, для каждого пользователя. Эти данные можно использовать для определения, который посещает веб-узлы пользователей или которого брандмауэры компьютера, используемого для доступа к Интернету.

Щелкнуть правой кнопкой мыши форму для просмотра связанных данных. Можно разрешить каждый IP-адрес, указанный в имени узла. Таким образом можно определить соответствующее имя каждого узла или брандмауэра.

Программа Portqry.exe также можно использовать для выполнения запроса к портам на компьютерах, указанных в этом списке. Чтобы сохранить данные анализа журнала в текстовый файл, нажмите кнопку СохранитьВ диалоговом окне Анализ данных журнала для журнала диалоговое окно.

Свойства

Код статьи: 884289 - Последний отзыв: 17 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional Edition
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbreadme kbsectools kbmisctools kbipsec kbhowto kbinfo kbmt KB884289 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:884289

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com