وصف أداة "محلل مراسل منفذ" (محلل PR)

انتهاء دعم نظام التشغيل Windows XP

لقد أنهت شركة Microsoft دعم Windows XP في 8 أبريل، 2014. وقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

انتهي دعم Windows Server 2003 في 14 يوليو 2015!

أنهت شركة Microsoft دعم نظام التشغيل Windows Server 2003 في 14 يوليو 2015. لقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية

اضغط هنا لرابط المقالة باللغة الانجليزية884289
الموجز
توضح هذه المقالة استخدام أداة "محلل مراسل منفذ" (PR-محلل). توضح هذه المقالة الموضوعات التالية المتعلقة أداة محلل PR:
  • معلومات أساسية
  • GUI Windows Microsoft لمراجعة السجلات
  • معرفة البيانات مريبة أو البيانات التي تهمك
  • تحليل السجلات ثم إنشاء البيانات
مقدمة حول
توضح هذه المقالة استخدام أداة "محلل مراسل منفذ" (PR-محلل). PR-محلل عبارة عن أداة يوزع السجلات التي تنشئ الخدمة "مراسل المنفذ". أداة محلل PR لدى العديد من الميزات المتقدمة التي يمكن أن تساعدك في تحليل ملفات سجل خدمة "مراسل المنفذ". يمكنك استخدام محلل PR باستخدام الأداة "تقرير منفذ" في عدد من وحدات السيناريو بما في ذلك وحدات سيناريو استكشاف الأخطاء وإصلاحها "و" المتعلقة بالأمان. تركز هذه المقالة كيفية استخدام أداة محلل PR في سيناريوهات متعلقة بالأمان.

للحصول على الأداة محلل PR قم بزيارة موقع Microsoft التالي على الويب:
معلومات أخرى

معلومات أساسية

عندما يصبح عرضة جهاز كمبيوتر يستند إلى Windows Microsoft, يمكن للمهاجم عموماً يستخدم موارد كمبيوتر يستند إلى Windows inflict تسبب أضرار أكثر أو مهاجمة أجهزة الكمبيوتر الأخرى. يتضمن هذا النوع من الهجوم عادةً أنشطة مثل بدء تشغيل العمليات أو أكثر أو باستخدام منافذ TCP وUDP أو كليهما. ما لم للمهاجم إخفاء هذا النشاط من كمبيوتر يستند إلى Windows نفسه, يمكن التقاط وتعريف هذا النشاط. لذلك، تبحث عن indications هذا النوع من نشاط يساعد تحديد ما إذا كان نظام عرضة للثغرات الأمنية.

أداة "مراسل المنفذ" هي برنامج يمكن تشغيله كخدمة على كمبيوتر يعمل بنظام التشغيل Microsoft Windows Server 2003 أو Windows XP أو Microsoft Windows 2000. تسجل خدمة "مراسل منفذ" نشاط منفذ TCP وUDP. على أجهزة الكمبيوتر المستندة إلى Windows Server 2003 و يستند إلى "نظام التشغيل Windows XP،" يمكن تسجيل خدمة "مراسل منفذ" المعلومات التالية:
  • المنافذ المستخدمة
  • العمليات التي تستخدم المنفذ
  • ما إذا كانت عملية خدمة
  • الوحدات النمطية (.dll .drv ، وهكذا) الذي يقوم بتحميل عملية
  • حسابات المستخدمين التي تبدأ عملية
البيانات التي يتم التقاطها بواسطة خدمة "مراسل منفذ" قد تساعدك في تحديد ما إذا كان أحد أجهزة كمبيوتر التي تكون عرضة للإصابة بهجمات الفيروسات أم لا. نفس البيانات مفيد أيضاً استكشاف الأخطاء وإصلاحها للحصول على إمكانية التعرف على استخدام المنفذ الخاص بالكمبيوتر ومن أجل التدوين سلوك الكمبيوتر.

PR-محلل عبارة عن أداة يوزع السجلات التي تنشئ الخدمة "مراسل المنفذ".للحصول على معلومات إضافية حول خدمة "مراسل منفذ" انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
837243توفر الأداة "تقرير منفذ" ووصف
توفر أداة محلل PR الوظائف الأساسية الثلاثة التالية:
  • أداة محلل PR يحتوي على Windows الرسومات المستخدم واجهة (GUI) التي يسهل مراجعة السجلات. باستخدام GUI يمكن فرز وتصفية البيانات في عدة طرق.
  • تساعدك الأداة محلل PR في التعرف على تصفية البيانات التي تهمك. توفر الأداة الوظائف التالية:
    • تعريف العمليات التي تهمك التي يتم تشغيلها على جهاز كمبيوتر
    • يحاول التعرف عند تشغيل عملية يستخدم الاسم للعملية الشرعية من المجلد غير صحيح على جهاز كمبيوتر
    • تعريف الوحدات النمطية, مثل .dll و .drv ، التي يتم تحميلها على جهاز كمبيوتر
    • يساعدك على تحديد وقت عناوين بروتوكول إنترنت (IP) أسماء المجال المؤهل بالكامل (FQDN) ، أو أسماء أجهزة الكمبيوتر التي تهمك تتصل به كمبيوتر
    • يعرّف المنافذ المستخدمة على جهاز كمبيوتر
    • يساعد على تحديد متى تكون نشطة على كمبيوتر حسابات المستخدمين
  • توفر الأداة محلل PR بعض بيانات تحليل سجل أيضاً. يمكن أن تساعدك هذه البيانات في فهم استخدام جهاز كمبيوتر. تتضمن هذه البيانات ما يلي:
    • قائمة ranked استخدام منفذ بروتوكول التحكم بالإرسال (TCP) المحلية
    • قائمة ranked استخدام عملية المحلي
    • قائمة ranked استخدام عنوان IP البعيد
    • قائمة ranked استخدام سياق المستخدم
    • تعداد خدمة Svchost.exe
    • استخدام المنفذ ساعة اليوم
    • استخدام Microsoft Internet Explorer من قبل المستخدم

GUI Windows لمراجعة السجلات

الأداة "تقرير منفذ" بإنشاء ملفات السجل الثلاثة التالية عند تشغيل الأداة:
  • PR - PORTS - .log timestamp
  • PR - PIDS - .log timestamp
  • PR - الأولي - .log timestamp
يستخدم اسم كل ملف السجل في التاريخ والوقت في التنسيق 24 ساعة تستند إلى الوقت عندما تم إنشاء الملف. تنسيق طابع التاريخ والوقت year-month-day-hour-minute-second. على سبيل المثال، تم إنشاء الملفات الثلاثة التالية على 24 يناير 2004 في 8:49:30 ص:
  • PR-PORTS-04-01-24-8-49-30.log
  • PR-PIDS-04-01-24-8-49-30.log
  • PR-INITIAL-04-01-24-8-49-30.log
عند فتح ملف سجل باستخدام أداة محلل PR GUI Windows للأداة محلل PR توفر المعلومات التالية:
  • هناك شريط عنوان النموذج الرئيسي مذكورة فتح اسم الملف لملف سجل حالياً.
  • يتم عرض الطوابع الزمنية السجلات الأولى والأخيرة في ملف السجل.
  • يتم سرد عدد السجلات المعروضة حالياً.
  • يتم عرض إدخالات السجل في شبكة على النموذج الرئيسي.
ملاحظة في النموذج الرئيسي الشبكة، قد لا ترى الأعمدة المرتبطة لمعالجة التفاصيل في حالة تشغيل الأداة محلل PR من جهاز كمبيوتر لا يعتمد تعيين منفذ عملية. على سبيل المثال، PIDالوحدة النمطية والحساب هي الأعمدة التي تتعلق لمعالجة التفاصيل. لا يعتمد Windows 2000 تعيين منفذ العملية. لذلك، على جهاز كمبيوتر يستند إلى نظام التشغيل Windows 2000 لا يمكنك مشاهدة هذه الأعمدة.

يوفر GUI Windows للأداة محلل PR الميزات التالية:
  • تظهر تفاصيل إدخال السجل في شبكة. إذا قمت بالنقر نقراً مزدوجاً فوق صف في الشبكة في النموذج الرئيسي أو انقر بزر الماوس الأيمن فوق صف ، ثم انقر فوق خصائص ، يتم عرض تفاصيل إدخال السجل. تتوفر هذه الميزة فقط في تفحص ملفات السجل على جهاز كمبيوتر له نظام تشغيل يعتمد تعيين منفذ العملية. اعتبارًا من سبتمبر 2004 Windows Server 2003 و Windows XP يعتمد هذه الميزة.
  • يمكنك فرز البيانات في الشبكة على النموذج الرئيسي في ترتيب تصاعدي أو تنازلي بواسطة أي عمود. إذا قمت بالنقر فوق رأس عمود الأداة فرز البيانات في الشبكة على النموذج الرئيسي في ترتيب تصاعدي حسب هذا العمود. إذا نقرت فوق رأس العمود الأداة فرز البيانات في ترتيب تنازلي. يظهر سهم في رأس عمود عند فرز البيانات حسب هذا العمود. يشير السهم أيضاً ترتيب الفرز. إذا كنت ترغب في استعادة الشبكة إلى ترتيب الفرز الأصلي الخاص به انقر فوق إعادة تعيين الشبكة الفرز الافتراضي في القائمة تحرير.
  • يمكنك استخدام إحدى الطرق التالية لتصفية البيانات في الشبكة في النموذج الرئيسي:
    • من القائمة تحرير ، أشر إلى عوامل تصفية ثم انقر فوق تصفية البيانات. يظهر مربع الحوار تصفية البيانات الشبكة. يمكنك تحديد عمود بيانات عامل التصفية ومن توفر معيار عامل تصفية. بعد تحديد المعايير وتطبيق يظهر البيانات المصفاة في شبكة البيانات.
    • انقر بزر الماوس الأيمن فوق خلية معايير عامل التصفية في الشبكة في النموذج الرئيسي هو قيمته ، أشر إلى تصفية ثم انقر فوق عامل التصفية المناسبة استناداً إلى ما إذا كنت تريد تصفية كافة الصفوف بدون هذه القيمة أو كافة الصفوف مع هذه القيمة.
  • يمكنك نسخ محتويات خلية أو نسخ محتويات كافة الخلايا في صف. لنسخ محتويات خلية, انقر بزر الماوس الأيمن فوق خلية ثم انقر فوق نسخ. لنسخ محتويات كافة الخلايا في صف انقر بزر الماوس الأيمن فوق رأس الصف ومن ثم انقر فوق نسخ.
  • يمكنك حل عناوين IP البعيدة التي تظهر في العمود البعيد IP إلى أسماء المطابق. يتم عرض قائمة بكافة عناوين IP وأسماء المقترنة في الشبكة بعد انتهاء الأداة محلل PR العملية. لا تحتوي هذه القائمة على عناصر مكررة. يمكنك استخدام إحدى الطرق التالية لحل عناوين IP البعيد:
    • من القائمة أدوات، انقر فوق حل كافة IPs البعيد حل كافة عناوين IP البعيدة.
    • انقر بزر الماوس الأيمن فوق خلية ثم انقر فوق حل عنوان IP البعيد حل عنوان IP المحدد.
    اعتماداً على عدد عناوين IP حل قد تستغرق هذه العملية عدة دقائق لإتمام. يتم استخدام ذاكرة التخزين المؤقتة لـ DNS على العميل لتجنب إرسال الاستعلامات إلى شبكة الاتصال التي قمت مسبقاً تم الإجابة.

    ملاحظة نجاح هذه العملية والسرعة يعتمد على البنية الأساسية تحليل الاسم على شبكة الاتصال. سرعة و النجاح هذه العملية أيضاً يعتمد على ما إذا كانت السجلات البحث العكسي متوفرة لكل عنوان IP.
  • يمكن المنفذ فحص جهاز كمبيوتر بعيد باستخدام الأداة المساعدة Portqry.exe سطر الأوامر. Portqry.exe هي اتصال سطر أوامر فعالة اختبار الأداة يمكن إنشاء معلومات مفيدة حول منافذ TCP وUDP.

    توفر الأداة محلل PR واجهة مستخدم لاستخدام الأداة المساعدة Portqry.exe. يمكن أن تساعدك هذه الميزة في تحديد نوع الكمبيوتر البعيد وخدمات الذي يوفر الكمبيوتر البعيد. إلى منفذ فحص جهاز كمبيوتر بعيد انقر بزر الماوس الأيمن فوق خلية ثم انقر فوق عنوان IP البعيد PortQry.للحصول على معلومات إضافية حول أداة سطر الأوامر المساعدة Portqry.exe انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
    310099وصف الأداة المساعدة Portqry.exe بسطر الأوامر
    ملاحظة عند تثبيت أداة محلل PR يتم نسخ الملف Portqry.exe إلى نفس المجلد حيث تم تخزين الملف Prparser.exe.

تعريف البيانات مريبة أو البيانات التي تهمك

يمكنك استخدام الأداة محلل PR لتعقب عدة نقاط البيانات بما في ذلك الوحدات النمطية IP عناوين ، المنافذ, والمستخدمين أسماء المضيفين. باستخدام الأداة محلل PR يمكنك بشكل سريع تحديد ما إذا كان أي إدخالات السجل في ملف سجل "مراسل منفذ" تتطابق مع أي معايير تكوين الأداة محلل PR إلى البحث عن. يمكنك تكوين هذه المعايير في GUI أداة محلل PR وتحديثه ثم لتحتوي على الصفات المميزة الشروط الجديدة التي تختارها.

لعرض أو إضافة أو حذف المعايير ، انقر فوق إعدادات المعايير في القائمة تحرير.

فيما يلي معايير الستة التي يمكن تعيينها في أداة محلل PR لتعريف البيانات مريبة أو البيانات التي تهمك.

تعقب المعروفة الوحدات النمطية

يتيح تعقب الوحدات النمطية المعروفة التعرف على الملفات القابلة للتنفيذ التي تستخدم أسماء الملفات الثنائية الشرعية و تشغيل أو تم تحميلها من مجلد غير صحيح. على سبيل المثال، اسم شائعة عن البرامج الضارة هو Svchost.exe. تشغيل Svchost.exe شرعية من المجلد %windir%\System32. عند البرامج الضارة يسمى Svchost.exe نسخ إلى المجلد % windir % يمكن أن يكون من الصعب على هذا الملف الثنائي قيد التشغيل من المجلد غير صحيح. في حالة تشغيل Svchost.exe من مجلد بخلاف المجلد System32 قد عرضة للهجمات التي تتم من الكمبيوتر. تعريف الأداة محلل PR هذا النوع من المشكلة.

لاحظ أنه بشكل عام، بعض الوحدات النمطية تشغيل من موقع واحد أو أكثر. يجب مراجعة أية تحذيرات محلل PR لتحديد ما إذا كان التحذير موجب خاطئة أو ما إذا كان قد تم العثور على شيء منتظم. إذا كنت ترغب في تفحص ملفات السجل "مراسل المنفذ" من أجهزة كمبيوتر مختلفة قد تحتاج إلى تجاوز إعدادات المجلد على الكمبيوتر المحلي قد يكون لدى أجهزة الكمبيوتر بنيات المجلد مختلفة. على سبيل المثال، % systemroot % و % windir % أشر إلى مواقع مختلفة على أجهزة كمبيوتر مختلفة. في هذه الحالة قد تعريف الأداة محلل PR العديد من الملفات قيد التشغيل في المجلد غير صحيح لأن الأداة محلل PR بحل هذه المتغيرات باستخدام بنية المجلد في الكمبيوتر المحلي حيث يتم تشغيل الأداة محلل العلاقات العامة. للتعويض عن هذا النوع من الفرق بين أجهزة الكمبيوتر "، يمكن تجاوز هذا السلوك وتعيين أداة محلل PR لحل هذه متغيرات البيئة. للقيام بذلك، اتبع الخطوات التالية:
  1. من القائمة تحرير ، انقر فوق إعدادات معايير.
  2. ضمن علامة التبويب "الوحدات النمطية معروف" ، انقر فوق تكوين.
  3. انقر فوق تجاوز إعدادات دليل النظام المحلي.
يتيح هذا إمكانية تجاوز طريقة أداة محلل PR يعمل حل متغيرات البيئة.

الوحدات النمطية

يمكن تحديد الأداة محلل PR بسرعة ما إذا تم العثور على الوحدات النمطية التي تهمك في ملفات السجل "مراسل المنفذ". لإضافة الوحدات النمطية إلى قائمة الوحدات النمطية التي تهمك اتبع الخطوات التالية:
  1. من القائمة تحرير ، انقر فوق إعدادات معايير.
  2. انقر فوق علامة التبويب الوحدات النمطية.
  3. انقر فوق إضافة.
  4. اكتب اسم الوحدة النمطية تهمك ومن ثم انقر فوق "موافق" إضافة "الوحدة النمطية" إلى قائمة الوحدات النمطية إلى البحث.
وبالمثل، يمكنك حذف الوحدات النمطية التي تم إضافتها إلى قائمة الوحدات النمطية إلى البحث.

عندما عثور الأداة محلل PR وحدة نمطية في ملف سجل التي تهمك, فإنه يعرض الإدخال باللون الأحمر في الشبكة على النموذج الرئيسي. على سبيل المثال، أداة Netcat.exe أداة قد المسؤولين أو قد لا تريد المستخدمين من استخدام على شبكة الاتصال الخاصة بهم. فإنه يمكن تعريف في سجلات "مراسل المنفذ" في حالة تشغيل الأداة Netcat.exe باسمه الأصلي.

انقر نقراً مزدوجاً فوق خط الذي تم تحديده لعرض التفاصيل. يفتح مربع حوار محلل مراسل منفذ - تفاصيل إدخال السجل كما يوفر تفاصيل حول العملية حول المنافذ المستخدمة وحول الوحدات النمطية التي تم تحميلها. كما يوفر محلل PR تحذير. إذا قمت بالنقر بزر الماوس الأيمن فوق اسم العملية أداة محلل PR يوفر خيارات researching عملية "للاهتمام" أو مريبة في مربع الحوار محلل مراسل منفذ - تفاصيل إدخال السجل.

ملاحظة لا يمكنك مشاهدة تفاصيل إدخال السجل على جهاز كمبيوتر يستند إلى نظام التشغيل Windows 2000.

عناوين IP

يمكن تحديد الأداة محلل PR عناوين IP التي تهمك في ملفات السجل "مراسل منفذ". لتعيين عناوين IP اتبع الخطوات التالية:
  1. من القائمة تحرير ، انقر فوق إعدادات معايير.
  2. انقر فوق علامة التبويب عناوين IP.
  3. انقر فوق إضافة.
  4. اكتب عنوان IP تهمك ومن ثم انقر فوق موافق لإضافة عنوان IP إلى قائمة عناوين IP إلى البحث.
وبالمثل، يمكنك أيضاً حذف عناوين IP التي تم إضافتها إلى قائمة عناوين IP إلى البحث.

بعد إضافة عنوان IP في معايير عناوين IP ثم تطبيق المعايير يتم عرض عنوان IP المحدد في الشبكة على النموذج الرئيسي.

المنافذ

لمسؤولي الشبكة استخدام سجلات جدار الحماية لتحديد البرامج التي تعمل على الشبكات نقاط النهاية التي تستخدم عند الاتصال البرامج. أداة محلل PR يمكن أن تساعدك في تحديد المنافذ التي يتم استخدامها من قبل برنامج و يمكنك التعرف بسرعة على المنافذ التي تهمك. العديد من الفيروسات المتنقلة ، الضارة والبرامج الأدوات التي يتم استخدامها من قبل المستخدمين الضارين استخدام المنافذ نفس كل مرة يتم تشغيلها. يمكن تحديد الأداة محلل PR أي المنافذ المسردة في قائمة معايير منافذ.

لتعديل هذه القائمة اتبع الخطوات التالية:
  1. من القائمة تحرير ، انقر فوق إعدادات معايير.
  2. انقر فوق علامة التبويب منافذ.
  3. انقر فوق إضافة.
  4. اكتب اسم المنفذ وبروتوكول التي تهمك ثم انقر فوق موافق لإضافة معلومات المنفذ إلى قائمة المنافذ إلى البحث.
وبالمثل، يمكنك حذف المنافذ التي يتم إضافتها إلى قائمة المنافذ إلى البحث.

لاحظ أن برامج شرعية قد تستخدم نفس المنافذ التي تستخدمها برامج ضارة. يجب أن يتحقق كل تحذير الأداة محلل PR بإنشاء لتحديد ما إذا كان يتم إنشاء التحذير لوجود عملية غير عادي.

حسابات المستخدمين

يسمح لك الأداة محلل PR تعريف حسابات المستخدمين التي تهمك في ملفات السجل "مراسل المنفذ". لتحديد حسابات المستخدم اتبع الخطوات التالية:
  1. من القائمة تحرير ، انقر فوق إعدادات معايير.
  2. انقر فوق علامة التبويب "حسابات المستخدمين.
  3. انقر فوق إضافة.
  4. اكتب حساب المستخدم تهمك ومن ثم انقر فوق موافق لإضافة حساب مستخدم إلى قائمة حسابات المستخدمين إلى البحث.
وبالمثل، يمكنك حذف حسابات المستخدمين التي يتم إضافتها إلى قائمة حسابات المستخدمين إلى البحث.

بعد إضافة مستخدم في معايير حسابات المستخدم يتم عرض حساب المستخدم المحدد في الشبكة في النموذج الرئيسي.

أسماء المضيفين

أداة محلل PR يحاول عناوين IP البعيدة التي تم العثور عليها في سجلات أسماء المضيفين. يعتمد النجاح الدقة على عوامل مثل إعدادات TCP/IP تكوين صحيح والإعدادات DNS بنية تحتية دقة اسم جاهزة عناوين IP إلى تعيينات اسم. لتقليل عدد الاستعلامات التي يتم إرسالها إلى الشبكة أداة محلل PR لدى ذاكرة التخزين مؤقت لاسم ويستخدم أيضاً ذاكرات التخزين المؤقت اسم العميل. لتحديد أسماء هذه اتبع الخطوات التالية:
  1. من القائمة تحرير ، انقر فوق إعدادات معايير.
  2. انقر فوق علامة التبويب أسماء المضيف.
  3. انقر فوق إضافة.
  4. اكتب اسم المضيف تهمك ومن ثم انقر فوق موافق لإضافة اسم المضيف إلى قائمة أسماء المضيف إلى البحث.
إذا أداة محلل PR بنجاح بتحليل عناوين IP إلى أسماء المضيف ، يعرّف أسماء المضيفين التي تتطابق مع أسماء التي يتم العثور عليها في قائمة معايير أسماء المضيفين الأداة ثم ثم يعرض أسماء المضيفين.

تطبيق المعايير

إذا كنت تريد تحديد المعايير لملف السجل الذي يتم فتحه يمكنك استخدام الخيار تطبيق المعايير في القائمة أدوات. يوزع أداة محلل PR ملف السجل للبحث عن الإدخالات التي تطابق المعايير. إذا تم العثور على تطابق أداة محلل PR يعرض الحقل الذي يتطابق. لا يتم سرد تفاصيل مثل النمطية المحملة في الشبكة في النموذج الرئيسي. تتوفر هذه التفاصيل فقط في عرض تفاصيل سجل.

عند عثور الأداة محلل PR تحميل الوحدة نمطية التي تهمك أو أنه تم تحميل الوحدة نمطية يستخدم اسم شرعية من المجلد غير صحيح, لا تعرض الأداة هذه المعلومات في شبكة النموذج الرئيسي. ويرجع ذلك إلى أن لا تعرض الأداة محلل PR الحقول. لتعريف كافة الصفوف التي تحتوي على البيانات التي تطابق معايير حتى في تفاصيل إدخال, يجب أن تصفية البيانات. للقيام بذلك، أشر إلى عوامل تصفية في القائمة تحرير ، ثم انقر فوق إظهار الصفوف فقط مع البيانات "للاهتمام". تمكنك هذه الميزة في تحديد ما إذا كان أي إدخالات السجل تتطابق مع المعايير التي تحددها. تحتوي القائمة الناتجة التي قد تكون فارغة على كافة الصفوف حيث البيانات تطابق المعايير بما في ذلك تفاصيل مثل الوحدات النمطية. لا يتوفر الخيار إظهار الصفوف فقط مع البيانات "للاهتمام" حتى يتم تطبيق معيار إلى البيانات. بعد النقر فوق تطبيق معايير في قائمة "أدوات" ، يتوفر الخيار إظهار الصفوف فقط مع البيانات "للاهتمام".

تحليل السجلات ثم إنشاء البيانات

يمكن أيضاً إنشاء أداة محلل PR سجل تحليل البيانات التي يمكن أن يكون مفيداً من أجل مسؤولي الكمبيوتر ومسؤولي شبكة الاتصال. يتم إنشاء سبعة مجموعات من البيانات من سجلات "مراسل المنفذ" من أجهزة الكمبيوتر المستندة إلى Windows Server 2003 أو يستند إلى نظام التشغيل Windows XP. لأنه لا الأداة "تقرير منفذ" تنفيذ تعيين منفذ عملية على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 2000 ، بعض هذه الإحصائيات لا يمكن إنشاء من السجلات من أجهزة الكمبيوتر هذه. تحليل السجلات وإنشاء الإخراج انقر فوق سجل بيانات تحليل في قائمة "أدوات".

فيما يلي مجموعات البيانات التي تم إنشاؤها بواسطة أداة محلل PR سبعة:

استخدام منفذ TCP المحلي

يتضمن هذا مجموعة البيانات عدد المرات التي تم تسجيل لكل منفذ TCP بواسطة أداة "تقرير المنفذ". يمكن أن يكون هذا النوع من البيانات مفيداً عندما تريد تحديد المنافذ التي سيتم فتح بين الشبكات الفرعية أو إلغاء التسجيل إلى الإنترنت. يوفر لك هذه البيانات تعرف على مدى تكرار المنافذ التي يستخدمها كل كمبيوتر. تحتوي البيانات على قيمة النسبة المئوية من إجمالي بالمقابلة مع كل إدخال. يتم حساب هذه القيمة بواسطة قسمة عدد مرات استخدام كل منفذ بواسطة العدد الإجمالي من المرات يتم استخدام كافة المنافذ.

استخدام عملية

يمكنك استخدام هذه البيانات لتحليل الاستخدام عملية على أجهزة الكمبيوتر. على سبيل المثال، البرامج التي يستخدمها الكمبيوتر تكرار تسجيل بواسطة أداة "تقرير منفذ" والبرامج التي يتم استخدامها بشكل عام على الأكثر. تحتوي البيانات على قيمة النسبة المئوية من الإجمالي لكل إدخال. يتم حساب هذه القيمة بواسطة قسمة عدد مرات تسجيل كل عملية حسب العدد الإجمالي من المرات يتم تسجيل كافة العمليات. هذه البيانات غير متوفر بالنسبة لأجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 2000.

تعداد Svchost.exe

يمكن تعريف الأداة محلل PR كافة الخدمات التي يتم استضافتها بواسطة العملية Svchost.exe. هذه المعلومات مطلوبة لتحديد البرامج قيد التشغيل على جهاز كمبيوتر.

استخدام عنوان IP البعيد

مجموعة البيانات هذا يعرض عناوين IP وإظهار قد أسماء المضيفين الاتصال الكمبيوتر مع. يتم إيجاد مرتبة القائمة بحيث يمكنك رؤية أجهزة الكمبيوتر التي تتصل بشكل متكرر.

يمكن انقر بزر الماوس الأيمن فوق الشبكة ثم قم بتحديد خيار من حل عناوين IP إلى أسماء المضيف المطابق. أداة محلل PR يحاول الأسماء باستخدام "الشبكة" و "إعدادات DNS على الكمبيوتر حيث يتم تشغيل الأداة محلل العلاقات العامة.

استخدام سياق المستخدم

يظهر هذا مجموعة البيانات قائمة ranked حسابات المستخدمين التي تم استخدامها في ملف سجل "مراسل المنفذ". يمكنك استخدام هذا لتحديد حسابات المستخدم التي يكون تم استخدامه على جهاز كمبيوتر. هذه البيانات غير متوفر بالنسبة لأجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 2000.

استخدام المنفذ من ساعة

توفر مجموعة البيانات هذا من استخدام المنفذ في الساعة تنظيم عبر الوقت الذي تم تجميع بيانات ملف السجل "مراسل المنفذ". يمكنك استخدام هذه البيانات على فهم أوقات ذروة كمبيوتر فهم ما إذا كان يتم استخدام المنافذ في أوقات غير متوقع.

ملاحظة بشكل افتراضي، "مراسل منفذ" بتجميع البيانات لمدة 24 ساعة.

استخدام Iexplore.exe

تعداد هذا مجموعة البيانات نقاط النهاية التي قمت بزيارتها Microsoft Internet Explorer. هذه البيانات يتم مقسمة على أساس كل مستخدم بواسطة مستخدم بحيث موجز استخدام Internet Explorer لكل مستخدم. يمكنك استخدام هذه البيانات لتحديد المستخدمين المواقع التي تمت زيارتها أو التي firewalls الكمبيوتر المستخدم في الوصول إلى الإنترنت.

يمكنك النقر بزر الماوس الأيمن فوق النموذج لمشاهدة معلومات ذات صلة. يمكن حل لكل عنوان IP المسرد إلى اسم مضيف. لذلك، يمكن تعريف اسم المطابق كل موقع أو جدار الحماية.

يمكنك أيضاً استخدام الأداة المساعدة Portqry.exe الاستعلام عن المنافذ على أجهزة الكمبيوتر التي تكون في هذه القائمة. لحفظ بيانات تحليل السجل إلى ملف نصي انقر فوق "حفظ" في مربع الحوار بيانات تحليل السجل لسجل.
منفذ PRParser المراسلون أداة الأمان WinXP W2k3 البرامج الضارة

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 884289 - آخر مراجعة: 11/01/2006 15:53:30 - المراجعة: 1.2

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows XP Professional, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbmt kbreadme kbsectools kbmisctools kbipsec kbhowto kbinfo KB884289 KbMtar
تعليقات