คำอธิบายของเครื่องมือตัวแยกวิเคราะห์ Reporter พอร์ต (PR-ตัวแยกวิเคราะห์)

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 884289 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

บทความนี้อธิบายการใช้เครื่องมือตัวแยกวิเคราะห์ Reporter พอร์ต (PR-ตัวแยกวิเคราะห์) บทความนี้อธิบายหัวข้อต่อไปนี้ที่เกี่ยวข้องกับเครื่องมือตัวแยกวิเคราะห์ PR:
  • ข้อมูลเบื้องหลัง
  • GUI Windows ของ Microsoft เพื่อตรวจสอบการล็อก
  • การระบุข้อมูลที่น่าสงสัยหรือข้อมูลที่คุณสนใจ
  • การวิเคราะห์การล็อกและสร้างข้อมูล

บทนำ

บทความนี้อธิบายการใช้เครื่องมือตัวแยกวิเคราะห์ Reporter พอร์ต (PR-ตัวแยกวิเคราะห์) ตัวแยกวิเคราะห์ PR คือ เครื่องมือที่แยกวิเคราะห์แฟ้มบันทึกที่สร้างบริการ Reporter พอร์ต เครื่องมือตัวแยกวิเคราะห์ PR มีคุณลักษณะขั้นสูงมากมายที่ช่วยให้คุณวิเคราะห์ไฟล์บันทึกของบริการ Reporter พอร์ต คุณสามารถใช้ PR-ตัวแยกวิเคราะห์ ด้วยเครื่องมือ Reporter พอร์ตในจำนวนสถานการณ์ รวมทั้งการแก้ไขปัญหา และ รักษาความปลอดภัยสถานการณ์ บทความนี้มุ่งเน้นเกี่ยวกับวิธีการใช้เครื่องมือตัวแยกวิเคราะห์ PR ในสถานการณ์ที่เกี่ยวข้องกับการรักษาความปลอดภัย

การขอรับเครื่องมือตัวแยกวิเคราะห์ PR แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://download.microsoft.com/download/2/8/8/28810043-0e21-4004-89a3-2f477a74186f/PRParser.exe

ข้อมูลเพิ่มเติม

ข้อมูลเบื้องหลัง

เมื่อคอมพิวเตอร์ที่ใช้ Windows Microsoft ภาวะ โจมตีโดยปกติจะใช้ทรัพยากรของคอมพิวเตอร์ที่ใช้ Windows inflict ความเสียหายที่เพิ่มเติม หรือ การโจมตีคอมพิวเตอร์เครื่องอื่น ชนิดของการโจมตีนี้เกี่ยวข้องกับการกิจกรรมต่าง ๆ เช่นการเริ่มการทำงานของกระบวนการหนึ่ง หรือหลาย หรือโดยใช้พอร์ต TCP และ UDP หรือทั้งสองโดยทั่วไป นอกจากผู้โจมตีซ่อนกิจกรรมนี้จากคอมพิวเตอร์ที่ใช้ Windows ตัวมันเอง คุณสามารถจับภาพ และระบุกิจกรรมนี้ ดังนั้น ค้นหา indications ของกิจกรรมชนิดนี้จะช่วยให้คุณตรวจสอบว่าระบบที่มีต่อ

เครื่องมือ Reporter พอร์ตคือ โปรแกรมที่สามารถทำงานเป็นบริการแบบบนคอมพิวเตอร์ที่ใช้ Microsoft Windows Server 2003, Microsoft Windows XP หรือ Microsoft Windows 2000 บริการ Reporter พอร์ตล็อกกิจกรรมพอร์ต TCP และ UDP ในคอมพิวเตอร์ที่ใช้ Windows Server 2003 และใช้ Windows XP บริการ Reporter พอร์ตสามารถบันทึกข้อมูลต่อไปนี้:
  • พอร์ตที่ใช้งาน
  • กระบวนการที่ใช้พอร์ต
  • กระบวนว่าการบริการ
  • โมดู (.dll, .drv และอื่น ๆ) ที่กระบวนการโหลด
  • บัญชีผู้ใช้ที่กระบวนการเริ่มต้น
ข้อมูลที่มีการจับภาพ โดยบริการ Reporter พอร์ตอาจช่วยให้คุณตรวจสอบว่าเครื่องรับ ข้อมูลเดียวกันยังเป็นประโยชน์ สำหรับการแก้ไขปัญหาเบื้องต้น สำหรับแฮความเข้าใจเกี่ยวกับการใช้งานพอร์ตเครื่องคอมพิวเตอร์ และ สำหรับการตรวจสอบลักษณะการทำงานของคอมพิวเตอร์

ตัวแยกวิเคราะห์ PR คือ เครื่องมือที่แยกวิเคราะห์แฟ้มบันทึกที่สร้างบริการ Reporter พอร์ตสำหรับข้อมูลเพิ่มเติมเกี่ยวกับบริการ Reporter พอร์ต คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
837243ความพร้อมใช้งานและคำอธิบายของเครื่องมือ Reporter พอร์ต
เครื่องมือตัวแยกวิเคราะห์ PR แสดงฟังก์ชันพื้นฐานสามต่อไปนี้:
  • เครื่องมือตัวแยกวิเคราะห์ PR ได้กับ Windows กราฟิกผู้ใช้อินเทอร์เฟซ (GUI) ที่ช่วยให้ง่ายต่อการตรวจสอบการล็อก โดยใช้การ GUI คุณสามารถเรียงลำดับ และกรองข้อมูลได้หลายวิธี
  • เครื่องมือตัวแยกวิเคราะห์ PR ช่วยให้คุณระบุ และกรองข้อมูลที่คุณสนใจ เครื่องมือแสดงฟังก์ชันที่มีการต่อไปนี้:
    • กระบวนการที่คุณสนใจที่ใช้บนคอมพิวเตอร์ที่ระบุ
    • ความพยายามที่ระบุเมื่อกระบวนการที่ใช้ชื่อของกระบวนการที่ถูกต้องตามกฎหมายรันจากโฟลเดอร์ไม่ถูกต้องในคอมพิวเตอร์
    • ระบุโมดู เช่น.dll และ.drv ที่โหลดในคอมพิวเตอร์
    • ช่วยกำหนดเวลาเมื่อโพรโทคอลหมายอินเทอร์เน็ต (IP) เน้น ชื่อโดเมน (FQDNs), หรือชื่อคอมพิวเตอร์ที่คุณสนใจมีการสื่อสารกับคอมพิวเตอร์
    • บ่งชี้ถึงพอร์ตที่ใช้งานบนคอมพิวเตอร์
    • ช่วยในการตรวจสอบเมื่อบัญชีผู้ใช้ที่อยู่บนคอมพิวเตอร์ที่ใช้งานอยู่
  • เครื่องมือตัวแยกวิเคราะห์ PR แสดงข้อมูลการวิเคราะห์บันทึกบางอย่างเช่นกัน ข้อมูลนี้จะช่วยให้คุณทำความเข้าใจเกี่ยวกับการใช้งานของคอมพิวเตอร์ ข้อมูลนี้มีข้อมูลต่อไปนี้:
    • รายการการใช้งานพอร์ตโพรโทคอลการควบคุมการรับส่ง (TCP) ท้องถิ่น ranked
    • รายการใช้งานของกระบวนการเฉพาะ ranked
    • รายการ ranked ของการใช้ที่อยู่ IP ระยะไกล
    • รายการ ranked ของการใช้บริบทของผู้ใช้
    • การแจงนับบริการ svchost.exe
    • การใช้งานพอร์ตรายชั่วโมงของวัน
    • Microsoft Internet Explorer usage by user

Windows GUI to review the logs

The Port Reporter tool creates the following three log files when the tool runs:
  • PR-PORTS-timestamp.log
  • PR-PIDS-timestamp.log
  • PR-INITIAL-timestamp.log
The name of each log file uses the date and the time in 24-hour format that is based on the time when the file was created. The format of the date and time stamp is year-month-day-hour-minute-second. For example, the following three files were created on January 24, 2004, at 8:49:30 A.M.:
  • PR-PORTS-04-01-24-8-49-30.log
  • PR-PIDS-04-01-24-8-49-30.log
  • PR-INITIAL-04-01-24-8-49-30.log
When you open a log file with the PR-Parser tool, the Windows GUI of the PR-Parser tool provides the following information:
  • The title bar of the main form mentions the file name of the log file that is currently open.
  • The timestamps of the first and last records in the log file are displayed.
  • The number of records that are currently displayed is listed.
  • The log entries are displayed in a grid on the main form.
หมายเหตุ:In the grid on the main form, you may not see the columns that are related to process details if the PR-Parser tool is running from a computer that does not support port-to-process mapping. ตัวอย่าง:pid,โมดูลและบัญชีare the columns that are related to process details. Windows 2000 does not support port-to-process mapping. Therefore, on a Windows 2000-based computer, you cannot see those columns.

The Windows GUI of the PR-Parser tool provides the following features:
  • Details of a log entry appear in a grid. If you double-click a row in the grid on the main form or right-click a row, and then clickคุณสมบัติ, the details of the log entry are displayed. This feature is only available when you examine log files on a computer whose operating system supports port-to-process mapping. As of September 2004, only Windows Server 2003 and Windows XP support this feature.
  • You can sort the data in the grid on the main form in ascending or descending order by any column. If you click a column header, the tool sorts the data in the grid on the main form in ascending order by that column. If you click the column header again, the tool sorts the data in descending order. An arrow appears in a column header when data is sorted by that column. The arrow also indicates the sort order. If you want to restore the grid to its original sort order, clickReset grid to default sortในการแก้ไขเมนู
  • You can use either of the following methods to filter the data in the grid on the main form:
    • ในการแก้ไขเมนู ให้ชี้ไปที่Filtersแล้ว คลิกFilter data. กระบวนการFilter Grid Dataกล่องโต้ตอบปรากฏขึ้น You can select a column as the filter data and provide a filter criterion. After you select and apply the criteria, the filtered data appears in the data grid.
    • Right-click a cell whose value is the criteria for the filter in the grid on the main form, point toตัวกรอง, and then click the appropriate filter, based on whether you want to filter all the rows without this value or all the rows with this value.
  • You can copy the contents of a cell or copy the contents of all the cells in a row. To copy the contents of a cell, right-click a cell, and then clickCopy. To copy the contents of all the cells in a row, right-click the row-header, and then clickCopy.
  • You can resolve remote IP addresses that appear in theRemote IPcolumn to their corresponding names. A list of all IP addresses and their associated names is displayed in the grid after the PR-Parser tool finishes the operation. This list does not contain duplicates. You can use either of the following methods to resolve remote IP addresses:
    • ในการเครื่องมือเมนู คลิกResolve all remote IPsto resolve all the remote IP addresses.
    • Right-click a cell, and then clickResolve Remote IP Addressto resolve the IP address that is selected.
    Depending on the number of IP addresses that you resolve, this operation can take several minutes to complete. The DNS cache on the client is used to avoid sending queries to the network that have already been answered.

    หมายเหตุ:ความเร็วและความสำเร็จของการดำเนินการนี้ขึ้นกับโครงสร้างพื้นฐานการจำแนกชื่อบนเครือข่าย ความเร็วและความสำเร็จของการดำเนินการนี้ยังขึ้นหรือไม่มีที่อยู่สำหรับแต่ละที่อยู่ IP ของเร็กคอร์ดที่ค้นหาแบบย้อนกลับ
  • คุณสามารถพอร์ตสแกนคอมพิวเตอร์ระยะไกล โดยใช้โปรแกรมอรรถประโยชน์บรรทัดคำสั่ง Portqry.exe ได้ portqry.exe จะเชื่อมต่อบรรทัดคำสั่งมีประสิทธิภาพที่ทดสอบเครื่องมือที่สามารถสร้างข้อมูลที่เป็นประโยชน์เกี่ยวกับพอร์ต TCP และ UDP

    เครื่องมือตัวแยกวิเคราะห์ PR ให้ผู้ใช้อินเทอร์เฟซสำหรับการใช้ยูทิลิตี Portqry.exe ลักษณะการทำงานนี้จะช่วยให้คุณกำหนดชนิดของคอมพิวเตอร์ระยะไกลและที่บริการที่มีคอมพิวเตอร์ระยะไกล พอร์ตสแกนคอมพิวเตอร์ระยะไกล การคลิกขวาที่เซลล์ และจากนั้น คลิกportqry อยู่ IP ระยะไกล.สำหรับข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมอรรถประโยชน์บรรทัดคำสั่ง Portqry.exe คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    310099คำอธิบายเกี่ยวกับอรรถประโยชน์บรรทัดคำสั่ง Portqry.exe
    หมายเหตุ:เมื่อมีการติดตั้งเครื่องมือตัวแยกวิเคราะห์ PR แฟ้ม Portqry.exe จะถูกคัดลอกไปยังโฟลเดอร์เดียวกับที่ที่จัดเก็บแฟ้ม Prparser.exe

การระบุข้อมูลที่น่าสงสัยหรือข้อมูลที่คุณสนใจ

คุณสามารถใช้เครื่องมือตัวแยกวิเคราะห์ PR เพื่อติดตาม จุดข้อมูลต่าง ๆ รวมถึงโมดูล ip แอดเดรส พอร์ต ผู้ใช้ และชื่อโฮสต์ โดยการใช้เครื่องมือตัวแยกวิเคราะห์ PR คุณสามารถกำหนดได้อย่างรวดเร็วว่าว่า รายการล็อกการใด ๆ ในแฟ้มบันทึก Reporter พอร์ตตรงกับเงื่อนไขใด ๆ ที่มีการกำหนดค่าเครื่องมือตัวแยกวิเคราะห์ PR เพื่อค้นหาได้ คุณสามารถกำหนดค่าเกณฑ์เหล่านี้ใน GUI เครื่องมือตัวแยกวิเคราะห์ PR และจากนั้น ปรับปรุงการรวมลักษณะเงื่อนไขใหม่ที่คุณเลือก

เมื่อต้องการดู เพิ่ม หรือลบเงื่อนไข คลิกการตั้งค่าเงื่อนไขในการแก้ไขเมนู

ต่อไปนี้เป็นเกณฑ์หกที่สามารถตั้งค่าในเครื่องมือตัวแยกวิเคราะห์ PR เพื่อระบุข้อมูลที่น่าสงสัยหรือข้อมูลที่คุณสนใจ ที่ใช้งาน

ติดตามเรียกโมดูล

การติดตามโมดูลรู้จักช่วยให้คุณระบุแฟ้มที่ปฏิบัติการได้ที่ใช้ชื่อของแฟ้มไบนารีที่ถูกต้องตามกฎหมาย และที่เรียกใช้ หรือถูกโหลดจากโฟลเดอร์ที่ไม่ถูกต้อง ตัวอย่างเช่น ชื่อที่ได้รับความนิยมสำหรับซอฟต์แวร์ที่เป็นอันตรายถูก Svchost.exe Svchost.exe ที่ถูกต้องตามกฎหมายที่ทำงานจากโฟลเดอร์ %windir%\System32 เมื่อซอฟต์แวร์ที่เป็นอันตรายชื่อ Svchost.exe และจะถูกคัดลอกไปยังโฟลเดอร์% windir % อาจเป็นเรื่องยากที่แฟ้มไบนารีนี้กำลังทำงานอยู่จากโฟลเดอร์ไม่ถูกต้อง ถ้า Svchost.exe กำลังเรียกใช้จากโฟลเดอร์อื่นนอกเหนือจากโฟลเดอร์ System32 เครื่องคอมพิวเตอร์อาจภาวะโจมตี เครื่องมือตัวแยกวิเคราะห์ PR ระบุปัญหาชนิดนี้

หมายเหตุ ซึ่งโดยทั่วไป บางโมดูลที่ทำงานจากตำแหน่งที่ตั้งมากกว่าหนึ่ง คุณต้องตรวจสอบคำเตือนใด ๆ ตัวแยกวิเคราะห์ PR เพื่อตรวจสอบว่าคำเตือนที่เป็นค่าบวกที่ผิดพลาดหรือไม่ว่าสิ่งที่ไม่สม่ำเสมอพบ เมื่อต้องการตรวจสอบไฟล์บันทึกของพอร์ต Reporter จากคอมพิวเตอร์ที่แตกต่างกัน คุณอาจต้องแทนที่การตั้งค่าของคอมพิวเตอร์ภายในโฟลเดอร์ได้เนื่องจากเครื่องคอมพิวเตอร์อาจมีโครงสร้างของโฟลเดอร์ที่แตกต่างกัน ตัวอย่างเช่น, % systemroot %และ% windir %ชี้ไปยังตำแหน่งที่ตั้งอื่นบนคอมพิวเตอร์เครื่องอื่น ในกรณีนี้ เครื่องมือตัวแยกวิเคราะห์ PR อาจระบุแฟ้มจำนวนมากทำงานอยู่ในโฟลเดอร์ที่ไม่ถูกต้องเนื่องจากเครื่องมือตัวแยกวิเคราะห์ PR แก้ไขตัวแปรเหล่านี้โดยใช้โครงสร้างของโฟลเดอร์ในเครื่องคอมพิวเตอร์ที่รันเครื่องมือตัวแยกวิเคราะห์ PR การชดเชยสำหรับชนิดนี้แตกต่างระหว่างเครื่องคอมพิวเตอร์ คุณสามารถแทนที่ลักษณะการทำงานนี้ และการตั้งค่าเครื่องมือตัวแยกวิเคราะห์ PR แก้ไขตัวแปร environmental เหล่านี้ โดยให้ทำตามขั้นตอนต่อไปนี้::
  1. ในการแก้ไขเมนู คลิกการตั้งค่าเงื่อนไข.
  2. ในการโมดูลที่รู้จักแท็บ คลิกconfiguration.
  3. คลิกแทนการตั้งค่าไดเรกทอรีของระบบภายใน.
ซึ่งช่วยให้คุณแทนที่ด้วยวิธีการใช้เครื่องมือตัวแยกวิเคราะห์ PR แก้ไขตัวแปร environmental

โมดูล

เครื่องมือตัวแยกวิเคราะห์ PR สามารถกำหนดได้อย่างรวดเร็วว่าว่า โมดูลที่คุณสนใจพบในแฟ้มบันทึก Reporter พอร์ต To add modules to the list of modules that you are interested in, follow these steps:
  1. ในการแก้ไขเมนู คลิกCriteria Settings.
  2. คลิกการโมดูลแท็บ
  3. คลิกadd.
  4. Type the name of the module that you are interested in, and then clickตกลงto add the module to theModules to Look Forรายการ
Similarly, you can delete the modules that are added to theModules to Look Forรายการ

When the PR-Parser tool finds a module in a log file that you are interested in, it displays the entry in red in the grid on the main form. For example, the Netcat.exe tool is a tool that administrators may or may not want users to use on their network. It can be identified in Port Reporter logs if the Netcat.exe tool is run by using its original name.

Double-click a line that is selected to see the details. aPort Reporter Parser - Log Entry Detailsdialog box opens and provides the details about the process, about the ports that are used, and about the modules that are loaded. The PR-Parser also provides a warning. ในการPort Reporter Parser - Log Entry Detailsdialog box, if you right-click the process name, the PR-Parser tool provides options for researching the "interesting" or suspicious process.

หมายเหตุ:You cannot see the details of a log entry on a Windows 2000-based computer.

IP addresses

The PR-Parser tool can identify IP addresses that you are interested in in Port Reporter log files. To specify the IP addresses, follow these steps:
  1. ในการแก้ไขเมนู คลิกCriteria Settings.
  2. คลิกการIP Addressesแท็บ
  3. คลิกadd.
  4. Type the IP address that you are interested in, and then clickตกลงto add the IP address to theIP Addresses to Look Forรายการ
Similarly, you can also delete the IP addresses that are added to theIP Addresses to Look Forรายการ

After you add an IP address in the IP Addresses criteria and then apply the criteria, the specified IP address is displayed in the grid on the main form.

พอร์ต

Network administrators use firewall logs to determine which programs are running on their networks and which endpoints are used when the programs communicate. The PR-Parser tool can help you determine which ports are being used by a program and can quickly identify the ports that you are interested in. Many viruses, worms, malicious programs, and tools that are used by malicious users use the same ports every time they run. The PR-Parser tool can identify any ports that are listed in the ports criteria list.

To modify this list, follow these steps:
  1. ในการแก้ไขเมนู คลิกCriteria Settings.
  2. คลิกการพอร์ตแท็บ
  3. คลิกadd.
  4. Type the name of the port and the protocol that you are interested in, and then clickตกลงto add the port information to thePorts to Look Forรายการ
Similarly, you can delete the ports that are added to thePorts to Look Forรายการ

Note that legitimate programs may use the same ports that malicious programs use. You must investigate each warning that the PR-Parser tool generates to determine whether the warning is generated because of an operation that is not regular.

บัญชีผู้ใช้

The PR-Parser tool lets you identify user accounts that you are interested in in Port Reporter log files. To specify the user accounts, follow these steps:
  1. ในการแก้ไขเมนู คลิกCriteria Settings.
  2. คลิกการบัญชีผู้ใช้แท็บ
  3. คลิกadd.
  4. Type the user account that you are interested in, and then clickตกลงto add the user account to theUser Accounts to Look Forรายการ
Similarly, you can delete the user accounts that are added to theUser Accounts to Look Forรายการ

After you add a user in the user accounts criteria, the specified user account is displayed in the grid on the main form.

Host names

The PR-Parser tool tries to resolve remote IP addresses that are found in the logs to host names. The success of the resolution depends on factors such as correctly configured TCP/IP settings, DNS settings, an operational name resolution infrastructure, and IP addresses to name mappings. To reduce the number of queries that are sent to the network, the PR-Parser tool has a name cache and also uses the name caches of the client. To specify these names, follow these steps:
  1. ในการแก้ไขเมนู คลิกCriteria Settings.
  2. คลิกการHost Namesแท็บ
  3. คลิกadd.
  4. Type the host name that you are interested in, and then clickตกลงเมื่อต้องการเพิ่มชื่อโฮสต์เมื่อต้องการชื่อโฮสต์เมื่อต้องการดูสำหรับรายการ
ถ้าเครื่องมือตัวแยกวิเคราะห์ PR แก้ไขอยู่ IP กับชื่อโฮสต์เรียบร้อยแล้ว เครื่องมือนี้ระบุชื่อโฮสต์ที่ตรงกับชื่อที่พบในรายการเกณฑ์ชื่อโฮสต์ และแสดงชื่อโฮสต์

เงื่อนไขการใช้

ในกรณีที่คุณต้องการระบุเกณฑ์สำหรับแฟ้มบันทึกที่มีเปิด คุณสามารถใช้การใช้เกณฑ์ตัวเลือกในการเครื่องมือเมนู เครื่องมือตัวแยกวิเคราะห์ PR แยกวิเคราะห์แฟ้มบันทึกการค้นหารายการที่ตรงกับเงื่อนไข ถ้าพบคู่ที่ตรงกัน เครื่องมือตัวแยกวิเคราะห์ PR แสดงฟิลด์ที่ไม่ตรงกัน ไม่มีการแสดงรายการรายละเอียด เช่นโมดูลที่โหลด ในเส้นตารางบนฟอร์มหลัก รายละเอียดเหล่านี้มีไว้เฉพาะเมื่อคุณดูรายละเอียดของเรกคอร์ด

เมื่อเครื่องมือตัวแยกวิเคราะห์ PR พบว่า ถูกโหลดโมดูลที่คุณสนใจ หรือโมดูลที่ใช้ชื่อที่ถูกต้องตามกฎหมายถูกโหลดจากโฟลเดอร์ไม่ถูกต้อง เครื่องมือไม่แสดงรายละเอียดนี้ในกริดฟอร์มหลัก นี่คือการได้เนื่องจากเครื่องมือตัวแยกวิเคราะห์ PR ไม่แสดงเขตข้อมูล เมื่อต้องการระบุแถวทั้งหมดที่ประกอบด้วยข้อมูลที่ตรงกับเงื่อนไข แม้แต่ในรายละเอียดของรายการ คุณต้องกรองข้อมูล เมื่อต้องการทำเช่นนี้ ชี้ไปที่ตัวกรองในการแก้ไขเมนู แล้วคลิกแสดงเฉพาะแถวที่ มีข้อมูล "interesting". ลักษณะการทำงานนี้ช่วยให้คุณกำหนดว่า รายการล็อกการใด ๆ ตรงกับเงื่อนไขที่คุณตั้งค่า รายการผลลัพธ์ที่อาจจะว่างเปล่าประกอบด้วยแถวทั้งหมดที่ที่ข้อมูลที่ตรงกับเกณฑ์ รวมทั้งรายละเอียดเช่นโมดูล กระบวนการแสดงเฉพาะแถวที่ มีข้อมูล "interesting"ตัวเลือกไม่พร้อมใช้งานจนกว่าเกณฑ์จะนำมาใช้กับข้อมูล หลังจากที่คุณคลิกใช้เกณฑ์ในการเครื่องมือเมนู การแสดงเฉพาะแถวที่ มีข้อมูล "interesting"ตัวเลือกที่พร้อมใช้งานอยู่

การวิเคราะห์การล็อกและสร้างข้อมูล

เครื่องมือตัวแยกวิเคราะห์ PR ยังสามารถสร้างแฟ้มบันทึกวิเคราะห์ข้อมูลที่เป็นประโยชน์สำหรับผู้ดูแลคอมพิวเตอร์และผู้ดูแลเครือข่าย เจ็ดชุดข้อมูลถูกสร้างจากแฟ้มบันทึก Reporter พอร์ตของคอมพิวเตอร์ที่ใช้ Windows Server 2003 หรือใช้ Windows XP เนื่องจากเครื่องมือ Reporter พอร์ตไม่ทำพอร์ตกับกระบวนการแมปบนคอมพิวเตอร์ที่ใช้ Windows 2000 ไม่มีสร้างสถิติเหล่านี้บางอย่างจากไฟล์บันทึกจากคอมพิวเตอร์เหล่านั้น เมื่อต้องวิเคราะห์การล็อก และสร้างผลลัพธ์ คลิกข้อมูลการวิเคราะห์การล็อกในการเครื่องมือเมนู

ต่อไปนี้คือ ชุดเจ็ดของข้อมูลที่สร้างขึ้น โดยการใช้เครื่องมือตัวแยกวิเคราะห์ PR:

การใช้งานพอร์ต TCP ท้องถิ่น

การเซ็ตอัพข้อมูลนี้ประกอบด้วยจำนวนครั้งที่แต่ละพอร์ต TCP ได้ถูกบันทึกไว้ โดยใช้เครื่องมือ Reporter พอร์ต ข้อมูลชนิดนี้จะมีประโยชน์เมื่อคุณต้องการกำหนดว่าจะสามารถเปิดพอร์ตใดระหว่างเครือข่ายย่อย หรือออกอินเทอร์เน็ตได้ ข้อมูลนี้ให้มีความคิดของถี่พอร์ตที่ใช้งานโดยคอมพิวเตอร์แต่ละเครื่อง ประกอบด้วยข้อมูลเป็นเปอร์เซ็นต์ของผลรวมค่ากับแต่ละรายการ ค่านี้ถูกคำนวณ โดยการหารจำนวนครั้งที่มีใช้แต่ละพอร์ตามจำนวนครั้งที่มีใช้พอร์ตต่าง ๆ ทั้งหมด

การใช้กระบวนการ

คุณสามารถใช้ข้อมูลนี้เพื่อวิเคราะห์การใช้งานของกระบวนการบนคอมพิวเตอร์ For example, the programs that the computer uses, how frequently they are logged by the Port Reporter tool, and the programs that are most generally used. The data contains aPercentage of Totalvalue for each entry. This value is calculated by dividing the number of times each process is logged by the total number of times all the processes are logged. This data is not available for Windows 2000-based computers.

Svchost.exe enumeration

The PR-Parser tool can identify all services that are hosted by the Svchost.exe process. This information is required to determine the programs that are running on a computer.

Remote IP address usage

This data set shows the IP addresses and may show the host names that the computer has been communicating with. The list is ranked so that you can see which computers communicate frequently.

You can right-click the grid and then select an option to resolve the IP addresses to their corresponding host names. The PR-Parser tool tries to resolve the names by using the network and DNS settings on the computer where the PR-Parser tool is running.

User context usage

This data set shows a ranked list of user accounts that were used in the Port Reporter log file. You can use this to determine which user accounts have been used on a computer. This data is not available for Windows 2000-based computers.

Port usage by hour

This data set provides a breakdown of port usage per hour over the time that the Port Reporter log file data was collected. You can use this data to understand the peak times for a computer and to understand whether ports are used at unexpected times.

หมายเหตุ:By default, the Port Reporter collects data for 24 hours.

Iexplore.exe usage

This data set enumerates the endpoints that Microsoft Internet Explorer visited. This data is broken down on a user-by-user basis so that the usage of Internet Explorer for each user can be profiled. You can use this data to determine which sites users visited or which firewalls the computer used to access the Internet.

You can right-click the form to see related information. Each IP address that is listed can be resolved to a host name. Therefore, the corresponding name of each site or firewall can be identified.

You can also use the Portqry.exe utility to query the ports on the computers that are identified in this list. To save the log analysis data to a text file, clickบันทึกในการLog Analysis Data for logกล่องโต้ตอบ

คุณสมบัติ

หมายเลขบทความ (Article ID): 884289 - รีวิวครั้งสุดท้าย: 15 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbreadme kbsectools kbmisctools kbipsec kbhowto kbinfo kbmt KB884289 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:884289

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com