Popis nástroje Port zpravodaj analyzátor (PR-analyzátor)

Souhrn

Tento článek popisuje použití nástroje Port zpravodaj analyzátor (PR-analyzátor). Tento článek popisuje následující témata, která souvisí s PR-analyzátor nástroj:
  • Základní informace
  • Microsoft Windows GUI na protokolech
  • Určení, zda neobsahují podezřelá data nebo data, která vás zajímají
  • Analýza protokolů a generování dat

ÚVOD

Tento článek popisuje použití nástroje Port zpravodaj analyzátor (PR-analyzátor). PR-Analyzátor je nástroj, který analyzuje protokoly, které generuje služba zpravodaj Port. PR-analyzátor nástroj má mnoho rozšířené funkce, které pomáhá analyzovat soubory protokolu služby zpravodaj portu. PR-analyzátor můžete použít nástroj Port zpravodaj v mnoha situacích, včetně scénáře řešení problémů a souvisejících se zabezpečením. Tento článek se zaměřuje na použití nástroje PR analyzátor v případech souvisejících se zabezpečením.

Chcete-li získat nástroj PR analyzátor, naleznete na následujícím webu společnosti Microsoft:

Další informace

Základní informace

Jakmile Microsoft systémem Windows počítač ohrožen, útočník způsobit větší škody nebo útoku na jiný počítač obvykle používá k prostředkům v počítači se systémem Windows. Tento typ útoku se obvykle zahrnuje aktivity, například spuštění jednoho nebo více procesů nebo použití portů TCP a UDP nebo oba. Pokud útočník skryje tuto aktivitu ze samotného počítače založené na systému Windows, můžete zachytit a identifikovat tuto aktivitu. Proto hledají údaje o tento druh aktivity můžete určit, zda je systém ohrožen.

Nástroj Port zpravodaj je program, který lze spustit jako služba v počítači se systémem Microsoft Windows Server 2003, Microsoft Windows XP nebo Microsoft Windows 2000. Zpravodaj Port služby zaznamenává aktivity portů TCP a UDP. V počítačích se systémem Windows Server 2003 a systémem Windows XP můžete služby Port zpravodaj Protokolovat následující informace:
  • Porty, které jsou používány
  • Procesy, které používají port
  • Zda je proces služby
  • Moduly (DLL, drv atd.), které načte procesu
  • Uživatelské účty, které spuštění procesu
Data, která je zachycena zpravodaj Port služby můžete zjistit, zda je počítač ohrožen. Stejná data je také užitečné pro řešení potíží, získat znalosti o použití portu počítače a auditování chování počítače.

PR-Analyzátor je nástroj, který analyzuje protokoly, které generuje služba zpravodaj Port. Další informace o portu zpravodaj služby klepněte na následující číslo článku databáze Microsoft Knowledge Base:

Dostupnost a popis nástroje Port zpravodaj 837243

PR-analyzátor nástroj poskytuje následující tři základní funkce:
  • PR-analyzátor nástroj má Windows grafickým rozhraním (GUI), což usnadní v protokolech. Pomocí grafického uživatelského rozhraní můžete řadit a filtrovat data v několika způsoby.
  • PR-analyzátor nástroj pomáhá rozpoznat a filtrovat data, která vás zajímají. Tento nástroj poskytuje následující funkce:
    • Identifikuje procesy, které vás zajímají, spuštěných v počítači
    • Pokusí se identifikovat při spuštění procesu, který používá název oprávněné procesu z nesprávné složky v počítači
    • Identifikuje moduly, jako DLL a drv, které jsou načteny do počítače
    • Pomáhá určit čas, kdy adresy Internet Protocol (IP), plně kvalifikované názvy domény (FQDN) nebo názvy počítačů, které vás zajímají komunikuje s počítačem
    • Identifikuje porty, které jsou použity v počítači
    • Pomáhá určit, kdy jsou aktivní v počítači uživatelské účty
  • PR-analyzátor nástroj poskytuje také některá data pro analýzu protokolu. Tato data pomáhají porozumět využití počítače. Tato data zahrnují následující:
    • Pořadový seznam použití portu místního protokolu TCP (Transmission Control)
    • Pořadový seznam použití místní proces
    • Pořadový seznam vzdálené použití adresy IP
    • Pořadový seznam použití kontextu uživatele
    • Služba výčet Svchost.exe
    • Použití portu pomocí hodiny dne
    • Použití aplikace Microsoft Internet Explorer uživatelem.

Grafického uživatelského rozhraní systému Windows a zkontrolujte protokoly

Při spuštění nástroje, vytvoří nástroj Port zpravodaj následujících tří protokolů:
  • PR-PORTS-timestamp.log
  • PR-PIDS-timestamp.log
  • PR-INITIAL-timestamp.log
Název jednotlivých souborů protokolu se používá datum a čas v 24hodinovém formátu, který je založen na čas, kdy byl soubor vytvořen. Formát Datum a časové razítko je year-month-day-hour-minute-second. Například následující tři soubory byly vytvořeny na 24. ledna 2004, v 8:49:30 hodin:
  • PR-PORTS-04-01-24-8-49-30.log
  • PR-PIDS-04-01-24-8-49-30.log
  • PR-INITIAL-04-01-24-8-49-30.log
Při otevření souboru protokolu pomocí nástroje PR-Analyzátor Windows GUI nástroje PR analyzátor poskytuje následující informace:
  • Záhlaví hlavního formuláře uvádí, otevřete soubor název souboru protokolu, který je v současné době.
  • Zobrazí se časová razítka první a poslední záznamy v souboru protokolu.
  • Je uveden počet záznamů, které jsou aktuálně zobrazeny.
  • Položky protokolu jsou zobrazeny v mřížce v hlavním formuláři.
Poznámka: V mřížce v hlavním formuláři nemusí zobrazit sloupce, které se týkají zpracovávat informace z počítače, který nepodporuje mapování portu k procesu je spuštěn nástroj PR analyzátor. Například PID, modula účtu jsou sloupce, které se vztahují k procesu podrobnosti. Systém Windows 2000 nepodporuje mapování portu k procesu. Proto v počítači se systémem Windows 2000, nelze zobrazit tyto sloupce.

Windows GUI nástroje PR analyzátor poskytuje následující funkce:
  • Podrobnosti položky protokolu se zobrazí v mřížce. Pokud poklepáním na řádek v mřížce v hlavním formuláři, nebo klepněte pravým tlačítkem myši na řádek a potom klepněte na příkaz Vlastnosti, zobrazí se podrobnosti o položce protokolu. Tato funkce je dostupná pouze při kontrole souborů protokolu v počítači, jehož operační systém nepodporuje mapování portu k procesu. Od září 2004 tuto funkci podporují pouze v systému Windows Server 2003 a Windows XP.
  • Můžete seřadit data v mřížce v hlavním formuláři vzestupně nebo sestupně podle libovolného sloupce. Pokud klepnete na záhlaví sloupce, řadí nástroj data v mřížce v hlavním formuláři vzestupně podle sloupce. Pokud znovu klepnete na záhlaví sloupce, řadí nástroj data v sestupném pořadí. Pokud je v daném sloupci seřazena data v záhlaví sloupce zobrazena šipka. Šipka označuje také pořadí řazení. Pokud chcete obnovit jeho původní pořadí řazení mřížky, klepněte na tlačítko Obnovit výchozí řazení mřížky v nabídce Úpravy .
  • K filtrování dat v mřížce v hlavním formuláři, můžete použít některou z následujících metod:
    • V nabídce Úpravy přejděte na příkaz filtrya potom klepněte na tlačítko filtrovat data. Zobrazí se dialogové okno Data filtru tabulky . Můžete vybrat sloupec jako filtrování dat a zadejte kritéria filtru. Po výběru a kritéria, se zobrazí v mřížce dat. filtrovaná data.
    • Klepněte pravým tlačítkem na buňku, jejíž hodnota je kritéria filtru v mřížce v hlavním formuláři, přejděte na příkaz Filtra potom klikněte na příslušný filtr, založené na tom, zda chcete filtrovat všechny řádky bez této hodnoty nebo všechny řádky s touto hodnotou.
  • Můžete kopírovat obsah buňky nebo zkopírujte obsah všech buněk v řádku. Chcete-li zkopírovat obsah buňky, klepněte pravým tlačítkem myši na buňku a potom klepněte na příkaz Kopírovat. Chcete-li zkopírovat obsah všech buněk v řádku, klepněte pravým tlačítkem myši záhlaví řádku a potom klepněte na příkaz Kopírovat.
  • Můžete vyřešit vzdálené IP adresy, které se zobrazí ve sloupci Vzdálená IP odpovídající názvy. Po dokončení nástroj PR analyzátor operace, zobrazí se seznam všech adres IP a jejich přidružené názvy v mřížce. Tento seznam neobsahuje duplicitní položky. Chcete-li vyřešit vzdálené adresy IP, můžete použít některou z následujících metod:
    • V nabídce Nástroje klepněte na tlačítko vyřešit všechny vzdálené adresy IP Chcete-li vyřešit všechny vzdálené adresy IP.
    • Klepněte pravým tlačítkem myši na buňku a potom klepněte na tlačítko Vyřešit vzdálené adresy IP , kterou chcete přeložit adresu IP, která je vybrána.
    Tato operace může trvat několik minut, v závislosti na počtu adres IP, které můžete vyřešit. Mezipaměť služby DNS na straně klienta se používá k zamezení odesílání dotazů na síti, která již byla zodpovězena.

    Poznámka: Rychlost a úspěch této operace závisí na infrastruktuře rozlišení názvu v síti. Rychlost a úspěch této operace závisí také na tom, zda jsou k dispozici pro každou adresu IP záznamů zpětného vyhledávání.
  • Lze přenést kontrolu vzdáleného počítače pomocí nástroje příkazového řádku Portqry.exe. Portqry.exe je výkonný příkazového řádku připojení testování nástroj, který lze generovat užitečné informace o porty TCP a UDP.

    PR-analyzátor nástroj poskytuje uživatelské rozhraní pomocí nástroje Portqry.exe. Tuto funkci můžete určit typ vzdáleného počítače a služeb, aby poskytoval vzdálený počítač. Chcete-li port kontroly vzdáleného počítače, klepněte pravým tlačítkem myši na buňku a klepněte na tlačítko Nástroje PortQry Vzdálená IP adresa. Další informace o nástroji příkazového řádku Portqry.exe získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

    310099 Popis nástroje příkazového řádku Portqry.exe

    Poznámka: Při instalaci nástroje PR analyzátor Portqry.exe soubor zkopírován do stejné složky, kde je uložen soubor Prparser.exe.

Určení, zda neobsahují podezřelá data nebo data, která vás zajímají

PR-analyzátor nástroj můžete použít ke sledování několika datových bodů, včetně modulů, adresy IP, porty, uživatelů a názvy hostitelů. Pomocí nástroje PR analyzátor můžete rychle zjistit, zda všechny položky protokolu do souboru protokolu portu zpravodaj odpovídají kritériím nástroj PR Analyzátor je nakonfigurován pro vyhledání. Můžete konfigurovat tyto kritéria v grafickém Uživatelském rozhraní nástroje PR analyzátor a potom aktualizovat tak, aby obsahovala vlastnosti nových podmínek, které zvolíte.

Zobrazit, přidat nebo odstranit kritéria, v nabídce Úpravy klepněte na tlačítko Nastavení kritérií .

Zde jsou šest kritérií, která lze nastavit v nástroj PR analyzátor k určení, zda neobsahují podezřelá data nebo data, která vás zajímají.

Sledování známé moduly

Sledování známých modulů umožňuje identifikovat spustitelné soubory, které používají názvy legitimních binární soubory a spustit nebo jsou načteny z chybné složce. Svchost.exe je například populární název škodlivého softwaru. Legitimní Svchost.exe spouští ze složky %windir%\System32. Pokud škodlivý software s názvem Svchost.exe a zkopírován do složky % windir %, může být obtížné vidět, že tento binární soubor je spuštěn z chybné složce. Svchost.exe je spuštěn z jiné složky než do složky System32, počítač může být ohrožen útoky. Nástroj PR analyzátor identifikuje tento druh problému.

Všimněte si, že obecně, některé moduly spustit z více umístění. Je nutné zkontrolovat všechna upozornění PR analyzátor k určení, zda varování falešně pozitivní nebo zda něco nepravidelné byl nalezen. Pokud chcete zkontrolovat souborů protokolu portu zpravodaj z různých počítačů, je třeba přepsat nastavení složky v místním počítači, protože počítače může mít jinou složku struktur. Například % systemroot % a % windir % přejděte na různých místech v různých počítačích. V tomto případě nástroj PR analyzátor může identifikovat mnoho souborů systémem v chybné složce, protože nástroj PR analyzátor řeší tyto proměnné pomocí struktury složek v místním počítači kde je spuštěn nástroj PR analyzátor. Pro kompenzaci pro tento druh rozdíl mezi počítači, můžete toto chování potlačit a nastavit nástroj PR analyzátor k řešení těchto proměnných prostředí. Chcete-li to provést, postupujte takto:
  1. V nabídce Úpravy klepněte na tlačítko Nastavení kritérií.
  2. Na kartě Známé moduly klepněte na tlačítko Konfigurace.
  3. Klepněte na tlačítko změnit nastavení adresáře v místním systému.
To umožňuje přepsat tak, že nástroj PR analyzátor řeší proměnné prostředí.

Moduly

Nástroj PR analyzátor můžete rychle zjistit, zda jsou v souborech protokolu portu zpravodaj nalezen moduly, které vás zajímají. Chcete-li přidat moduly seznam modulů, které vás zajímají, postupujte takto:
  1. V nabídce Úpravy klepněte na tlačítko Nastavení kritérií.
  2. Klepněte na kartu moduly .
  3. Klepněte na tlačítko Přidat.
  4. Zadejte název modulu se zajímají a potom klepněte na tlačítko OK , chcete-li přidat modul do seznamu moduly, které chcete hledat .
Podobně můžete odstranit moduly, které jsou přidány do seznamu moduly, které chcete hledat .

Pokud nástroj PR analyzátor vyhledá modul v souboru protokolu, která vás zajímá, zobrazí položku červeně v mřížce v hlavním formuláři. Například nástroj Netcat.exe je nástroj, že správci mohou nebo nemusí být žádoucí uživatelům používat ve své síti. V protokolech zpravodaj portu může být identifikován při spuštění nástroj Netcat.exe pomocí původní název.

Poklepejte na řádek, který je vybrán zobrazíte podrobnosti. Dialogové okno Port zpravodaj analyzátor - podrobnosti o položce protokolu a poskytuje podrobné informace o procesu, o portech, které jsou používány a o modulech, které jsou načteny. PR-analyzátor poskytuje také upozornění. V dialogovém okně Port zpravodaj analyzátor - podrobnosti o položce protokolu klepnete pravým tlačítkem myši název procesu PR-analyzátor nástroj poskytuje možnosti pro zkoumání procesu "internacionální" nebo podezřelé.

Poznámka: Nelze zobrazit podrobnosti o položce protokolu v počítači se systémem Windows 2000.

Adresy IP

Nástroj PR analyzátor může identifikovat IP adres, které vás zajímají v souborech protokolu portu zpravodaj. Chcete-li určit adresy IP, postupujte takto:
  1. V nabídce Úpravy klepněte na tlačítko Nastavení kritérií.
  2. Klepněte na kartu Adresy IP .
  3. Klepněte na tlačítko Přidat.
  4. Zadejte adresu IP zajímají a potom klepněte na tlačítko OK , chcete-li přidat adresu IP do seznamu Adres IP, které chcete hledat .
Podobně můžete odstranit také adresy IP, které jsou přidány do seznamu Adres IP, které chcete hledat .

Přidat adresu IP adres IP kritéria a pak použít kritéria, zadaná adresa IP se zobrazí v mřížce v hlavním formuláři.

Přístavy

Správci sítě použít protokoly brány firewall k určení programů spuštěných v jejich síti a které koncové body používané při komunikaci programů. Nástroj PR analyzátor můžete určit, které porty jsou používány programem a můžete rychle identifikovat porty, které vás zajímají. Mnoho viry, červy, škodlivými programy a nástroje, které jsou používány uživateli se zlými úmysly použít stejné porty při každém spuštění. Nástroj PR analyzátor může identifikovat všechny porty, které jsou uvedeny v seznamu kritéria porty.

Chcete-li tento seznam upravit, postupujte takto:
  1. V nabídce Úpravy klepněte na tlačítko Nastavení kritérií.
  2. Klepněte na kartu porty .
  3. Klepněte na tlačítko Přidat.
  4. Zadejte název portu a protokolu, která vás zajímají a potom klepněte na tlačítko OK , chcete-li přidat informace o portu do seznamu portů, které chcete hledat .
Podobně můžete odstranit porty, které jsou přidány do seznamu portů, které chcete hledat .

Všimněte si, že legitimní programy mohou používat stejné porty, které používají nebezpečné programy. Musíte prozkoumat každé upozornění, který generuje nástroj PR analyzátor k určení, zda je generována upozornění z důvodu operace, která není Normální.

Uživatelské účty

Nástroj PR analyzátor umožňuje určit uživatelské účty, které vás zajímají v souborech protokolu portu zpravodaj. Chcete-li určit uživatelské účty, postupujte takto:
  1. V nabídce Úpravy klepněte na tlačítko Nastavení kritérií.
  2. Klepněte na kartu Uživatelské účty .
  3. Klepněte na tlačítko Přidat.
  4. Zadejte účet uživatele zajímají a potom klepněte na tlačítko OK , chcete-li přidat uživatelský účet do seznamu Uživatelské účty, které chcete hledat .
Podobně můžete odstranit uživatelské účty, které jsou přidány do seznamu Uživatelské účty, které chcete hledat .

Po přidání uživatele v kritérii účty uživatele zadaný uživatelský účet se zobrazí v mřížce v hlavním formuláři.

Názvy hostitelů

PR-analyzátor nástroj se pokusí vyřešit vzdálené adresy IP, které se nacházejí v protokolech na názvy hostitelů. Úspěšné vyřešení závisí na faktorech jako jsou správně nakonfigurované nastavení protokolu TCP/IP, nastavení DNS, název provozní řešení infrastruktury a adresy IP na název mapování. Chcete-li snížit počet dotazů odeslaných do sítě, nástroj PR analyzátor má název mezipaměti a používá také název mezipaměti klienta. Chcete-li zadat tyto názvy, postupujte takto:
  1. V nabídce Úpravy klepněte na tlačítko Nastavení kritérií.
  2. Klepněte na kartu Názvy hostitelů .
  3. Klepněte na tlačítko Přidat.
  4. Zadejte název hostitele, který je zajímá a potom klepněte na tlačítko OK přidejte název hostitele do seznamu Názvů hostitelů, které chcete hledat .
Pokud nástroj PR analyzátor úspěšně překládá IP adresy na názvy hostitelů, tento nástroj identifikuje názvy hostitelů, které odpovídají názvy, které jsou k dispozici v seznamu kritéria názvy hostitelů a potom zobrazí názvy hostitelů.

Použití kritérií

Pokud chcete zadat kritéria pro soubor protokolu, který je otevřen, můžete
Možnost Použít kritéria v nabídce Nástroje . Nástroj PR analyzátor analyzuje soubor protokolu pro položky, které odpovídají zadaným kritériím vyhledávání. Pokud je nalezena shoda, zobrazí nástroj PR analyzátor odpovídající pole. Podrobné informace, například načtené moduly nejsou uvedeny v mřížce v hlavním formuláři. Tyto podrobnosti jsou k dispozici pouze při zobrazení Podrobnosti záznamu.

Pokud nástroj PR analyzátor zjistí, že byl načten modul, který vás zajímá, nebo že byl načten modul, který používá název oprávněné z chybné složce, nástroj nezobrazuje informace v mřížce v hlavním formuláři. Je to proto, že nástroj PR analyzátor nezobrazí pole. Chcete-li identifikovat všechny řádky, které obsahují data, která splňují daná kritéria, i v podrobnosti položky, musíte filtrovat data. Chcete-li to provést, v nabídce Úpravy přejděte na příkaz filtry a potom klepněte na tlačítko Zobrazit pouze řádky s daty "zajímavé". Tato funkce umožňuje určit, zda všechny položky protokolu odpovídají kritériím, které nastavíte. V rozevíracím seznamu, který může být prázdný, obsahuje všechny řádky, které splňují kritéria, včetně detailů, jako jsou moduly. Zobrazit pouze řádky s daty "zajímavé" možnost není k dispozici, dokud kritérium je použito pro data. Po klepnutí na tlačítko Použít kritéria v nabídce Nástroje je k dispozici možnost Zobrazit pouze řádky s daty "zajímavé" .

Analýza protokolů a generování dat

Nástroj PR analyzátor může také generovat analýzy dat protokolu, které mohou být užitečné pro počítače správci a správci sítě. Sedmi sady dat jsou generovány v protokolech zpravodaj Port z počítače se systémem Windows Server 2003 nebo systémem Windows XP. Protože nástroj Port zpravodaj neprovádí mapování portu k procesu v počítačích se systémem Windows 2000, nelze některé z těchto statistik Generovat z protokolů z těchto počítačů. Analyzovat protokoly a generovat výstup, klepněte v nabídce Nástroje Analýza dat protokolu .

Sedm sad dat, které jsou generovány pomocí nástroj PR analyzátor jsou následující:

Místní použití portu TCP

Tato sada dat obsahuje počet zaznamenání každý port TCP Port zpravodaj nástroj. Tento druh dat může být užitečné, když chcete určit porty, které budou otevřeny mezi podsítěmi nebo k Internetu. Tato data vám dává představu o jak často používá každý počítač porty. Data obsahují hodnotu Procento z celku proti každé položky. Tato hodnota se vypočítá vydělením počet, kolikrát každý port je používán tak, že celkový počet případů, kdy jsou použity všechny porty.

Použití procesu

Tato data slouží k analýze využití procesu v počítačích. Například programy, které počítač používá, jak často jsou přihlášeni Port zpravodaj nástroj a programy, které jsou obecně nejčastěji používány. Dat obsahuje Procento z celkové hodnoty pro každou položku. Tato hodnota se vypočítá vydělením počet, kolikrát je zaznamenána každý proces tak, že celkový počet pokusů, které jsou zaznamenány všechny procesy. Tato data není k dispozici pro počítače se systémem Windows 2000.

Výčet Svchost.exe

Nástroj PR analyzátor může identifikovat všechny služby, které jsou hostovány v procesu Svchost.exe. Tyto informace je nutné určit programy, které jsou spuštěny v počítači.

Vzdálené použití adresy IP

Tato sada dat jsou uvedeny adresy IP a může zobrazit názvy hostitelů, aby počítač byl komunikuje prostřednictvím. Seznam je seřazeny tak, aby se zobrazí počítače, které často komunikovat.

Můžete klepněte pravým tlačítkem myši mřížku a poté vyberte možnost překládat adresy IP na odpovídající názvy hostitele. PR-analyzátor nástroj se pokusí přeložit názvy pomocí síťových připojení a nastavení služby DNS v počítači, kde je spuštěn nástroj PR analyzátor.

Použití kontextu uživatele

Tato sada dat zobrazí pořadový seznam uživatelských účtů, které byly použity v souboru protokolu portu zpravodaj. To můžete určit, které uživatelské účty byly použity v počítači. Tato data není k dispozici pro počítače se systémem Windows 2000.

Použití portu o hodinu

Tato sada dat poskytuje přehled použití portu za hodinu v průběhu času, shromážděné údaje ze souborů protokolu portu zpravodaj. Tato data můžete pochopit Špička pro počítač a pochopit, zda jsou porty používané v neočekávaném čase.

Poznámka: Ve výchozím portu zpravodaj shromažďuje data po dobu 24 hodin.

Iexplore.exe využití

Tato sada dat výčet koncové body, které aplikace Microsoft Internet Explorer navštívili. Tato data se člení na základě uživatel uživatel tak, aby použití aplikace Internet Explorer pro všechny uživatele může být tvarované. Tato data slouží k určení, které stránky uživatelé navštívili, nebo který brána firewall v počítači používaném k přístupu k Internetu.

Klepněte pravým tlačítkem formulář zobrazit související informace. Každou adresu IP, která je uvedena, lze vyřešit název hostitele. Proto mohou být identifikovány odpovídající název každého serveru nebo brány firewall.

Můžete také použít nástroj Portqry.exe dotazy porty v počítačích, které jsou uvedeny v tomto seznamu. Analýza dat protokolu uložit do textového souboru, klepněte na tlačítko Uložitv dialogovém okně Analýza dat protokolu pro protokol .
Vlastnosti

ID článku: 884289 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor