A Port Reporter eszköz elérhetősége és leírása

A Windows XP támogatása megszűnt

A Microsoft 2014. április 8-án megszüntette a Windows XP terméktámogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

2015. július 14-én véget ért a Windows Server 2003 támogatása

2015. július 14-én a Microsoft megszüntette a Windows Server 2003 támogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

Összefoglaló
A cikk a Port Reporter eszköz leírását tartalmazza. Az eszköz a Windows Server 2003, Windows XP és Windows 2000 rendszerű számítógépeken futó, a TCP és az UDP port tevékenységét naplózó szolgáltatás, amelynek beszerzéséről és telepítéséről e cikk nyújt bővebb felvilágosítást. Az eszköz telepítésekor a telepítőprogram létrehozza a megfelelő rendszerleíró bejegyzéseket, majd telepíti a Port Reporter szolgáltatást.

A cikk arról is felvilágosítást nyújt, hogy miképp állítható be a szolgáltatás indítási paraméterek használatával, de tájékoztatást ad a szolgáltatás által létrehozott naplófájlokról is.
Bevezetés
A jelen cikk a Port Reporter eszköz beszerzését, telepítését és beállítását ismerteti. A Port Reporter eszköz a Windows Server 2003, Windows XP és Windows 2000 rendszerű számítógépek TCP és UDP portjai tevékenységét naplózni képes alkalmazás.

a lap tetejére

Áttekintés

A Port Reporter eszköz a TCP és az UDP port tevékenységét naplózza: nem más, mint egy kisméretű program, a Windows Server 2003, a Windows XP vagy a Windows 2000 rendszeren futó szolgáltatás.

Windows Server 2003 és Windows XP rendszerű számítógépeken a szolgáltatás a következő adatok naplózására képes:
 • A használatban lévő portok adatai
 • A portot használó folyamatok adatai
 • Annak rögzítése, hogy az adott folyamat szolgáltatás-e
 • Az adott folyamat által betöltött modulok adatai
 • Az adott folyamatot futtató felhasználói fiókok adatai
Windows 2000 alapú rendszereken a szolgáltatás a használatban lévő portokat és használatuk idejét naplózza.

A Port Reporter eszköz által naplózott adatokkal nyomon követheti az egyes portok használatát, illetve megoldhatja az esetlegesen felmerülő problémákat. A Port Reporter által naplózott információ biztonsági szemszögből is hasznosnak bizonyulhat.

a lap tetejére

A Port Reporter eszköz beszerzése

A Port Reporter eszköz a Microsoft letöltőközpont alábbi webhelyéről tölthető le:

Fontos! A Port Reporter Parser a Port Reporter naplófájljainak elemző eszköze. Ez az eszköz most letölthető. A Port Reporter Parser program számos szolgáltatása segít a Port Reporter naplófájljainak elemzésében. A Port Reporter Parser eszköz a következő Microsoft webhelyről tölthető le:
http://download.microsoft.com/download/2/8/8/28810043-0e21-4004-89a3-2f477a74186f/PRParser.exe

a lap tetejére

A Port Reporter szolgáltatás telepítése

A Port Reporter telepítőprogramja (Pr-Setup.exe) futtatásakor a következő műveleteket hajtja végre:
 • Hozzáadja a következő rendszerleíró alkulcsot a Windows rendszerleíró adatbázisához:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\PortReporter
  A Port Reporter csak e rendszerleíró kulcs megléte esetén tudja a számítógép eseménynaplójába írni a naplóbejegyzéseket.
 • Telepíti a Port Reporter szolgáltatást.

  A telepítő szolgáltatásobjektumot hoz létre a Port Reporter eszközhöz, majd hozzáadja az objektumot a szolgáltatásvezérlő kezelőjének adatbázisához.
a lap tetejére

A Port Reporter szolgáltatás telepítése az alapértelmezett helyre

A Port Reporter szolgáltatás telepítése alapértelmezés szerint a merevlemez következő mappájába történik:
meghajtó:\Program Files\PortReporter
A Port Reporter szolgáltatás alapértelmezett helytől eltérő helyre történő telepítésének menete az alábbi.
 1. Jelentkezzen be a számítógépre a helyi rendszergazdák csoportjának tagjaként.
 2. Zárja be az összes futó alkalmazást, beleértve a Felügyeleti eszközök csoport Szolgáltatások és Eseménynapló segédprogramját is.
 3. A telepítő indításához kattintson duplán a Pr-Setup.exe fájlra.
 4. Ha a rendszer a Program Files mappába készül telepíteni a Port Reporter eszközt, engedélyezze a műveletet az Y billentyű megnyomásával.

  Ezt követően a telepítő létrehoz egy PortReporter nevű almappát a Program Files mappában, a rendszer a Portreporter.exe fájlt az almappába másolja, és a Szolgáltatásvezérlőben szolgáltatásként regisztrálja.
a lap tetejére

A Port Reporter szolgáltatás telepítése az alapértelmezettől eltérő helyre

Ha a Port Reporter szolgáltatást nem az alapértelmezett helyre szeretné telepíteni:
 1. Jelentkezzen be a számítógépre a helyi rendszergazdák csoportjának tagjaként.
 2. Zárja be az összes futó alkalmazást, beleértve a Felügyeleti eszközök csoport Szolgáltatások és Eseménynapló segédprogramját is.
 3. Másolja a Pr-setup.exe és a Portreporter.exe fájlt abba a mappába, ahová a Port Reporter eszközt telepíteni szeretné.

  Megjegyzés: A telepítőprogramot csak állandó, helyi meghajtóról lehet futtatni, a telepítőprogram nem futtatható hálózati meghajtóról vagy CD-ROM-meghajtóról.
 4. Írja be a parancssorba a következő sort, és nyomja le az ENTER billentyűt, ahol a mappa_elérési_útja a Pr-setup.exe és a Portreporter.exe fájlokat tartalmazó mappa elérési útja és a mappát tároló meghajtó.
  pr-setup.exe -d 'mappa_elérési_útja'
  Ha az eszközt például a D:\Tools\Port Reporter mappába kívánja telepíteni, a következő parancsot kell beírnia:
  pr-setup.exe –d 'd:\tools\port reporter\'
  A parancssor ablakában a következőhöz hasonló angol nyelvű üzenetek jelennek meg:
  C:\temp>pr-setup.exe -d 'mappa_elérési_útja'Installing Port Reporter service: mappa_elérési_útjaCreating service...completed successfullyCreating registry key and values...completed successfullyPR-Setup has successfully installed the Port Reporter service The service is currently stopped and set to manual startup typePlease use the services applet Administrative Tools in the control panel to configureand start the Port Reporter servicepress any key to exit setup
 5. A telepítőből történő kilépéshez nyomjon meg egy billentyűt.
a lap tetejére

A Port Reporter szolgáltatás beállítása és elindítása

Ha tudni szeretné, hogy a szolgáltatás telepítése sikeresen megtörtént-e, majd el szeretné indítani a szolgáltatást, hajtsa végre az alábbi műveleteket.
 1. Kattintson jobb gombbal a Start menü Sajátgép elemére, majd kattintson a helyi menü Kezelés parancsára.
 2. Bontsa ki a Szolgáltatások és kiszolgálói alkalmazások csomópontot, majd kattintson a Szolgáltatások listaelemre.
 3. A jobb oldali ablaktáblában ellenőrizze, hogy a Port Reporter szolgáltatás látható-e a listában.
 4. A szolgáltatás elindításához kattintson duplán annak nevére, majd kattintson az Indítás gombra. Kattintson az OK gombra.

  A Port Reporter szolgáltatás naplóbejegyzést hoz létre az alkalmazásnaplóban, így jelezve, hogy a szolgáltatás működik.
A szolgáltatás alapértelmezett indítási típusa a Kézi érték. Ha azt szeretné, hogy a szolgáltatás a Windows rendszer indításakor automatikusan elinduljon, állítsa az indítási típust Automatikus értékre.

A Port Reporter szolgáltatás alapértelmezés szerint a helyi rendszerfiókkal jelentkezik be a számítógépre, és e fiók használatával adatokat gyűjthet azokról a folyamatokról, amelyekhez a rendszergazdai fióknak vagy az egyéb felhasználói fiókoknak nincsen hozzáférése. A Microsoft ebből kifolyólag nem tanácsolja e beállítás megváltoztatását.

Megjegyzés: Mivel a szolgáltatás a helyi rendszerfiók környezetében fut, a Microsoft javasolja a Port Reporter eszközt tároló mappa biztonságossá tételét. Akár az alapértelmezett helyre (%SystemDrive%\Program Files\PortReporter), akár másik helyre telepíti a szolgáltatást, hajtsa végre az alábbi műveleteket.
 • A Port Reporter eszközt csak NTFS fájlrendszerű partícióra telepítse.
 • Állítsa be a telepítési mappa hozzáférés-szabályozási listáját (ACL) úgy, hogy csak a helyi Rendszergazdák csoport rendelkezzen hozzáféréssel a mappához. Ehhez hajtsa végre a következő lépéseket:
  1. Indítsa el a Windows Intézőt, és keresse meg a telepítési mappát (ez alapértelmezés szerint a %SystemDrive%\Program Files\PortReporter mappa).
  2. Kattintson jobb gombbal a mappára, majd kattintson a helyi menü Tulajdonságok parancsára.
  3. A mappa tulajdonságait összegző párbeszédpanelen kattintson a Biztonság fülre, majd ellenőrizze, hogy mely csoportok és felhasználók rendelkeznek hozzáféréssel a mappához. Ne feledje, hogy csak a helyi Rendszergazdák csoportnak és a SYSTEM fióknak szabad hozzáférést adni.
  4. Jelölje ki a listában szereplő többi csoportot és felhasználót, majd kattintson az Eltávolítás gombra. Ha a lista már csak a helyi Rendszergazdák csoportot és a SYSTEM fiókot tartalmazza, kattintson az Alkalmaz, majd az OK gombra.

A naplófájlok helye

A Port Reporter eszköz alapértelmezés szerint a következő mappában kísérli meg létrehozni a naplófájlokat:
%systemroot%\System32\LogFiles\PortReporter
Ha a mappa még nem létezik, a rendszer létrehozza azt. A naplófájlok helyének beállításához a Port Reporter szolgáltatás párbeszédpaneljének Általános lapján szereplő indítási paramétert használhatja. A naplófájlmappa megadásához a használni kívánt mappa neve elé írja be az -ld parancssori kapcsolót, és ne felejtse a mappanevet aposztrófok (') közé tenni. A következő indítási paraméter megadásakor például a Port Reporter szolgáltatás a C:\Program Files\Port Reporter mappában hozza létre a naplófájlokat a szolgáltatás indításakor:
-ld 'c:\program files\port reporter'

A naplófájlok mérete

A Port Reporter szolgáltatás alapértelmezés szerint mindaddig ír az adott naplófájlba, míg az el nem éri az öt megabájt (MB) méretet, majd ezt követően új naplófájlt hoz létre. A naplófájlok méretének beállítására az -ls parancssori kapcsoló szolgál, a fájlméret pedig 1000 és 102 400 kilobájt (KB) között lehet. A következő indítási paraméter megadásával a Port Reporter szolgáltatás például új naplófájlt hoz létre, valahányszor az előző fájl mérete eléri a 7000 kilobájtot:
-ls 7000
Miután beállította a szolgáltatást a kívánt indítási paraméterekkel, indítsa el a szolgáltatást. Annak indulása után a rendszer a következő két eseményt írja az eseménynaplóba:
Típus: Információ
Forrás: PortReporter
Kategória: Nincs
Esemény azonosítója: 100
Leírás:
The Port Reporter service was started.
Típus: Információ
Forrás: PortReporter
Kategória: Nincs
Esemény azonosítója: 100
Leírás:
The Port Reporter service successfully created log files in the following directory: naplófájlok_elérési_útja
a lap tetejére

A Port Reporter szolgáltatás eltávolítása

A szolgáltatás eltávolításához írja be a következő parancsot a parancssorba, majd nyomja meg az ENTER billentyűt:
pr-setup.exe -u
A parancssor ablakában a következőhöz hasonló angol nyelvű üzenetek jelennek meg:
Uninstalling Port Reporter service...Deleting service... Stopping service...completed successfully  Removing service...completed successfullyDeleting service...completed successfullyDeleting registry key and values...completed successfullySetup successfully uninstalled the Port Reporter Service The installation directory has been left intactA telepítőprogramból való kilépéshez nyomjon le egy billentyűt.
A Port Reporter szolgáltatás eltávolításakor a telepítőprogram a következő műveleteket hajtja végre:
 • Törli a Port Reporter szolgáltatást a Szolgáltatásvezérlő adatbázisából.
 • Törli a rendszerleíró adatbázisból a Port Reporter szolgáltatás telepítésekor létrehozott bejegyzéseket.
A szolgáltatás eltávolításakor a telepítő nem távolítja el a Pr-setup.exe és a PortReporter.exe fájlt tartalmazó mappát, és a szolgáltatás által létrehozott naplófájlokat sem törli.

a lap tetejére

A Port Reporter naplófájljainak értelmezése

A Port Reporter szolgáltatás a következő esetekben hoz létre naplófájlokat:
 • A Port Reporter szolgáltatás minden egyes indításakor
 • Minden nap éjfélkor
 • Ha a naplófájl mérete eléri az öt megabájtot vagy az indítási paraméterben megadott egyéni méretkorlátot
A szolgáltatás indításakor a következő naplófájlok jönnek létre:
 • PR-INITIAL-*.log
 • PR-PORTS-*.log
 • PR-PIDS-*.log
Minden naplófájl nevében szerepel a fájl létrehozásának dátuma és időpontja (24 órás formátumban), év, hónap, nap, óra, perc és másodperc sorrendben. A következő három fájlt például 2004. január 24-én reggel, 8:49:30 időpontban hozta létre a rendszer:
 • PR-INITIAL-04-01-24-8-49-30.log
 • PR-PORTS-04-01-24-8-49-30.log
 • PR-PIDS-04-01-24-8-49-30.log
a lap tetejére

A PR-INITIAL naplófájl

A PR-INITIAL naplófájl azokat az adatokat tartalmazza, a melyeket a Port Reporter szolgáltatás gyűjtött az indításakor a számítógépen futó folyamatokról, modulokról és a portokról. de megtalálhatók benne az egyes folyamatokat tároló felhasználói környezetek is. Az alábbi példa egy Windows XP rendszeren, a Port Reporter szolgáltatás indításakor létrehozott angol nyelvű PR-INITIAL naplófájl tartalmát mutatja be.
Port Reporter Version 1.01 Log FileService initialization logSystem Date: <dátum és időpont>Local computer name: <számítógépnév>TCP/UDP Port to Process Mappings at service start-up36 mappings foundPID:Process		Port		Local IP	State		 Remote IP:Port0:System Idle		TCP 4857 	169.254.66.8 	TIME WAIT	 169.254.44.123:804:System		TCP 445 	0.0.0.0 	LISTENING	 0.0.0.0:62464:System		TCP 1026 	0.0.0.0 	LISTENING	 0.0.0.0:287264:System		TCP 139 	169.254.66.8 	LISTENING	 0.0.0.0:349254:System		UDP 445 	0.0.0.0 			 *:*4:System		UDP 137 	169.254.66.8 			 *:*4:System		UDP 138 	169.254.66.8 			 *:*664:iexplore.exe	TCP 4867 	0.0.0.0 	LISTENING	 0.0.0.0:4225664:iexplore.exe	TCP 4870 	0.0.0.0 	LISTENING	 0.0.0.0:45070664:iexplore.exe	TCP 4871 	0.0.0.0 	LISTENING	 0.0.0.0:18494664:iexplore.exe	TCP 4872 	0.0.0.0 	LISTENING	 0.0.0.0:6182664:iexplore.exe	TCP 4867 	169.254.66.8 	ESTABLISHED	 169.254.44.123:80664:iexplore.exe	TCP 4870 	169.254.66.8 	ESTABLISHED	 207.68.177.62:80664:iexplore.exe	TCP 4871 	169.254.66.8 	ESTABLISHED	 207.46.248.110:80664:iexplore.exe	TCP 4872 	169.254.66.8 	ESTABLISHED	 207.46.248.110:80664:iexplore.exe	UDP 4817 	127.0.0.1 			 *:*748:lsass.exe		UDP 500 	0.0.0.0 			 *:*952:svchost.exe	TCP 135 	0.0.0.0 	LISTENING	 0.0.0.0:20961092:svchost.exe	TCP 1025 	0.0.0.0 	LISTENING	 0.0.0.0:20641092:svchost.exe	TCP 3002 	127.0.0.1 	LISTENING	 0.0.0.0:491931092:svchost.exe	TCP 3003 	127.0.0.1 	LISTENING	 0.0.0.0:390781092:svchost.exe	UDP 123 	169.254.66.8 			 *:*1092:svchost.exe	UDP 123 	127.0.0.1 			 *:*1192:svchost.exe	UDP 3009 	0.0.0.0 			 *:*1192:svchost.exe	UDP 3015 	0.0.0.0 			 *:*1192:svchost.exe	UDP 3016 	0.0.0.0 			 *:*1228:svchost.exe	TCP 5000 	0.0.0.0 	LISTENING	 0.0.0.0:452231228:svchost.exe	UDP 1900 	169.254.66.8 			 *:*1228:svchost.exe	UDP 1900 	127.0.0.1 			 *:*1536:alg.exe		TCP 3001 	127.0.0.1 	LISTENING	 0.0.0.0:20641568:InoRpc.exe	TCP 42510 	0.0.0.0 	LISTENING	 0.0.0.0:143731568:InoRpc.exe	UDP 43508 	169.254.66.8 			 *:*3764:msmsgs.exe	TCP 16521 	169.254.66.8 	LISTENING	 0.0.0.0:452943764:msmsgs.exe	UDP 4803 	0.0.0.0 			 *:*3764:msmsgs.exe	UDP 9160 	169.254.66.8 			 *:*3764:msmsgs.exe	UDP 9586 	169.254.66.8 			 *:*=============================================================================Process ID: 4 (System)System ProcessPID	Port		Local IP	State		 Remote IP:Port4	TCP 445 	0.0.0.0 	LISTENING	 0.0.0.0:62464	TCP 1026 	0.0.0.0 	LISTENING	 0.0.0.0:287264	TCP 139 	169.254.66.8 	LISTENING	 0.0.0.0:349254	UDP 445 	0.0.0.0 			 *:*4	UDP 137 	169.254.66.8 			 *:*4	UDP 138 	169.254.66.8 			 *:*Port StatisticsTCP mappings: 3UDP mappings: 3TCP ports in a LISTENING state: 	3 = 100.00%Could not access module information for this process======================================================Process ID: 748 (lsass.exe)User context: NT AUTHORITY\SYSTEMService Name: PolicyAgentDisplay Name: IPSEC ServicesService Type: shares a process with other servicesService Name: ProtectedStorageDisplay Name: Protected StorageService Name: SamSsDisplay Name: Security Accounts ManagerService Type: shares a process with other servicesPID	Port		Local IP	State		 Remote IP:Port748	UDP 500 	0.0.0.0 			 *:*Port StatisticsTCP mappings: 0UDP mappings: 1Loaded modules:D:\WINDOWS\system32\lsass.exe (0x01000000)D:\WINDOWS\System32\ntdll.dll (0x77F50000)D:\WINDOWS\system32\kernel32.dll (0x77E60000)D:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000)D:\WINDOWS\system32\RPCRT4.dll (0x78000000)D:\WINDOWS\system32\LSASRV.dll (0x74520000)D:\WINDOWS\system32\msvcrt.dll (0x77C10000)D:\WINDOWS\system32\Secur32.dll (0x76F90000)D:\WINDOWS\system32\USER32.dll (0x77D40000)D:\WINDOWS\system32\GDI32.dll (0x77C70000)D:\WINDOWS\system32\SAMSRV.dll (0x74440000)D:\WINDOWS\system32\cryptdll.dll (0x76790000)D:\WINDOWS\system32\DNSAPI.dll (0x76F20000)D:\WINDOWS\system32\WS2_32.dll (0x71AB0000)D:\WINDOWS\system32\WS2HELP.dll (0x71AA0000)D:\WINDOWS\system32\MSASN1.dll (0x762A0000)D:\WINDOWS\system32\NETAPI32.dll (0x71C20000)D:\WINDOWS\system32\SAMLIB.dll (0x71BF0000)D:\WINDOWS\system32\MPR.dll (0x71B20000)D:\WINDOWS\system32\NTDSAPI.dll (0x767A0000)D:\WINDOWS\system32\WLDAP32.dll (0x76F60000)D:\WINDOWS\system32\msprivs.dll (0x743B0000)D:\WINDOWS\system32\kerberos.dll (0x71CF0000)D:\WINDOWS\system32\msv1_0.dll (0x76D10000)D:\WINDOWS\system32\netlogon.dll (0x744B0000)D:\WINDOWS\system32\w32time.dll (0x767C0000)D:\WINDOWS\system32\MSVCP60.dll (0x55900000)D:\WINDOWS\system32\iphlpapi.dll (0x76D60000)D:\WINDOWS\system32\USERENV.dll (0x75A70000)D:\WINDOWS\system32\schannel.dll (0x767F0000)D:\WINDOWS\system32\CRYPT32.dll (0x762C0000)D:\WINDOWS\system32\wdigest.dll (0x74380000)D:\WINDOWS\System32\rsaenh.dll (0x0FFD0000)D:\WINDOWS\system32\setupapi.dll (0x76670000)D:\WINDOWS\system32\scecli.dll (0x74410000)D:\WINDOWS\system32\OLEAUT32.dll (0x77120000)D:\WINDOWS\system32\OLE32.DLL (0x771B0000)D:\WINDOWS\system32\shell32.dll (0x773D0000)D:\WINDOWS\system32\SHLWAPI.dll (0x70A70000)D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll (0x71950000)D:\WINDOWS\system32\comctl32.dll (0x77340000)D:\WINDOWS\system32\ipsecsvc.dll (0x743E0000)D:\WINDOWS\system32\oakley.DLL (0x745D0000)D:\WINDOWS\system32\WINIPSEC.DLL (0x74370000)D:\WINDOWS\system32\mswsock.dll (0x71A50000)D:\WINDOWS\System32\wshtcpip.dll (0x71A90000)D:\WINDOWS\system32\pstorsvc.dll (0x743A0000)D:\WINDOWS\system32\psbase.dll (0x743C0000)D:\WINDOWS\System32\dssenh.dll (0x0FFA0000)======================================================Process ID: 952 (svchost.exe)User context: NT AUTHORITY\SYSTEMService Name: RpcSsDisplay Name: Remote Procedure Call (RPC)Service Type: shares a process with other servicesPID	Port		Local IP	State		 Remote IP:Port952	TCP 135 	0.0.0.0 	LISTENING	 0.0.0.0:2096Port StatisticsTCP mappings: 1UDP mappings: 0TCP ports in a LISTENING state: 	1 = 100.00%Loaded modules:D:\WINDOWS\system32\svchost.exe (0x01000000)D:\WINDOWS\System32\ntdll.dll (0x77F50000)D:\WINDOWS\system32\kernel32.dll (0x77E60000)D:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000)D:\WINDOWS\system32\RPCRT4.dll (0x78000000)d:\windows\system32\rpcss.dll (0x75850000)D:\WINDOWS\system32\msvcrt.dll (0x77C10000)d:\windows\system32\WS2_32.dll (0x71AB0000)d:\windows\system32\WS2HELP.dll (0x71AA0000)D:\WINDOWS\system32\USER32.dll (0x77D40000)D:\WINDOWS\system32\GDI32.dll (0x77C70000)d:\windows\system32\Secur32.dll (0x76F90000)D:\WINDOWS\system32\userenv.dll (0x75A70000)D:\WINDOWS\system32\mswsock.dll (0x71A50000)D:\WINDOWS\System32\wshtcpip.dll (0x71A90000)D:\WINDOWS\system32\DNSAPI.dll (0x76F20000)D:\WINDOWS\system32\iphlpapi.dll (0x76D60000)D:\WINDOWS\System32\winrnr.dll (0x76FB0000)D:\WINDOWS\system32\WLDAP32.dll (0x76F60000)D:\WINDOWS\system32\rasadhlp.dll (0x76FC0000)D:\WINDOWS\system32\CLBCATQ.DLL (0x76FD0000)D:\WINDOWS\system32\ole32.dll (0x771B0000)D:\WINDOWS\system32\OLEAUT32.dll (0x77120000)D:\WINDOWS\system32\COMRes.dll (0x77050000)D:\WINDOWS\system32\VERSION.dll (0x77C00000)======================================================Process ID: 1092 (svchost.exe)User context: NT AUTHORITY\SYSTEMService Name: AudioSrvDisplay Name: Windows AudioService Type: shares a process with other servicesService Name: BITSDisplay Name: Background Intelligent Transfer ServiceService Type: shares a process with other servicesService Name: CryptSvcDisplay Name: Cryptographic ServicesService Type: shares a process with other servicesService Name: DhcpDisplay Name: DHCP ClientService Type: shares a process with other servicesService Name: dmserverDisplay Name: Logical Disk ManagerService Type: shares a process with other servicesService Name: ERSvcDisplay Name: Error Reporting ServiceService Type: shares a process with other servicesService Name: EventSystemDisplay Name: COM+ Event SystemService Type: shares a process with other servicesService Name: helpsvcDisplay Name: Help and SupportService Type: shares a process with other servicesService Name: lanmanserverDisplay Name: ServerService Type: shares a process with other servicesService Name: lanmanworkstationDisplay Name: WorkstationService Type: shares a process with other servicesService Name: MessengerDisplay Name: MessengerService Type: shares a process with other servicesService Name: NetmanDisplay Name: Network ConnectionsService Name: NlaDisplay Name: Network Location Awareness (NLA)Service Type: shares a process with other servicesService Name: RasManDisplay Name: Remote Access Connection ManagerService Type: shares a process with other servicesService Name: ScheduleDisplay Name: Task SchedulerService Name: seclogonDisplay Name: Secondary LogonService Name: SENSDisplay Name: System Event NotificationService Type: shares a process with other servicesService Name: SharedAccessDisplay Name: Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)Service Type: shares a process with other servicesService Name: ShellHWDetectionDisplay Name: Shell Hardware DetectionService Type: shares a process with other servicesService Name: srserviceDisplay Name: System Restore ServiceService Type: shares a process with other servicesService Name: TapiSrvDisplay Name: TelephonyService Type: shares a process with other servicesService Name: TermServiceDisplay Name: Terminal ServicesService Type: shares a process with other servicesService Name: ThemesDisplay Name: ThemesService Type: shares a process with other servicesService Name: TrkWksDisplay Name: Distributed Link Tracking ClientService Type: shares a process with other servicesService Name: W32TimeDisplay Name: Windows TimeService Type: shares a process with other servicesService Name: winmgmtDisplay Name: Windows Management InstrumentationService Type: shares a process with other servicesService Name: wuauservDisplay Name: Automatic UpdatesService Type: shares a process with other servicesService Name: WZCSVCDisplay Name: Wireless Zero ConfigurationService Type: shares a process with other servicesPID	Port		Local IP	State		 Remote IP:Port1092	TCP 1025 	0.0.0.0 	LISTENING	 0.0.0.0:20641092	TCP 3002 	127.0.0.1 	LISTENING	 0.0.0.0:491931092	TCP 3003 	127.0.0.1 	LISTENING	 0.0.0.0:390781092	UDP 123 	169.254.66.8 			 *:*1092	UDP 123 	127.0.0.1 			 *:*Port StatisticsTCP mappings: 3UDP mappings: 2TCP ports in a LISTENING state: 	3 = 100.00%Loaded modules:D:\WINDOWS\System32\svchost.exe (0x01000000)D:\WINDOWS\System32\ntdll.dll (0x77F50000)D:\WINDOWS\system32\kernel32.dll (0x77E60000)D:\WINDOWS\system32\ADVAPI32.dll (0x77DD0000)D:\WINDOWS\system32\RPCRT4.dll (0x78000000)D:\WINDOWS\system32\ole32.dll (0x771B0000)D:\WINDOWS\system32\GDI32.dll (0x77C70000)D:\WINDOWS\system32\USER32.dll (0x77D40000)d:\windows\system32\shsvcs.dll (0x76BD0000)D:\WINDOWS\system32\msvcrt.dll (0x77C10000)D:\WINDOWS\system32\SHLWAPI.dll (0x70A70000)D:\WINDOWS\system32\shell32.dll (0x773D0000)D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll (0x71950000)D:\WINDOWS\system32\comctl32.dll (0x77340000)D:\WINDOWS\System32\WINSTA.dll (0x76360000)d:\windows\system32\dhcpcsvc.dll (0x76D80000)d:\windows\system32\DNSAPI.dll (0x76F20000)d:\windows\system32\WS2_32.dll (0x71AB0000)d:\windows\system32\WS2HELP.dll (0x71AA0000)d:\windows\system32\iphlpapi.dll (0x76D60000)d:\windows\system32\Secur32.dll (0x76F90000)D:\WINDOWS\System32\UxTheme.dll (0x5AD70000)D:\WINDOWS\System32\rsaenh.dll (0x0FFD0000)d:\windows\system32\wzcsvc.dll (0x70B50000)d:\windows\system32\rtutils.dll (0x76E80000)d:\windows\system32\WMI.dll (0x76D30000)D:\WINDOWS\system32\OLEAUT32.dll (0x77120000)D:\WINDOWS\system32\CRYPT32.dll (0x762C0000)D:\WINDOWS\system32\MSASN1.dll (0x762A0000)d:\windows\system32\WTSAPI32.dll (0x76F50000)d:\windows\system32\ESENT.dll (0x69710000)D:\WINDOWS\system32\WLDAP32.dll (0x76F60000)d:\windows\system32\NETAPI32.dll (0x71C20000)D:\WINDOWS\system32\mswsock.dll (0x71A50000)D:\WINDOWS\System32\wshtcpip.dll (0x71A90000)D:\WINDOWS\System32\rastls.dll (0x555A0000)D:\WINDOWS\System32\ATL.DLL (0x76B20000)D:\WINDOWS\System32\CRYPTUI.dll (0x754D0000)D:\WINDOWS\System32\WINTRUST.dll (0x76C30000)D:\WINDOWS\system32\IMAGEHLP.dll (0x76C90000)D:\WINDOWS\system32\WININET.dll (0x76200000)D:\WINDOWS\System32\MPRAPI.dll (0x76D40000)D:\WINDOWS\System32\ACTIVEDS.dll (0x76E40000)D:\WINDOWS\System32\adsldpc.dll (0x76E10000)D:\WINDOWS\System32\SAMLIB.dll (0x71BF0000)D:\WINDOWS\System32\SETUPAPI.dll (0x76670000)D:\WINDOWS\System32\RASAPI32.dll (0x76EE0000)D:\WINDOWS\System32\rasman.dll (0x76E90000)D:\WINDOWS\System32\TAPI32.dll (0x76EB0000)D:\WINDOWS\System32\WINMM.dll (0x76B40000)D:\WINDOWS\System32\SCHANNEL.dll (0x767F0000)D:\WINDOWS\system32\USERENV.dll (0x75A70000)D:\WINDOWS\System32\WinSCard.dll (0x723D0000)D:\WINDOWS\System32\raschap.dll (0x70AF0000)D:\WINDOWS\system32\msv1_0.dll (0x76D10000)D:\WINDOWS\System32\CLBCATQ.DLL (0x76FD0000)D:\WINDOWS\System32\COMRes.dll (0x77050000)D:\WINDOWS\system32\VERSION.dll (0x77C00000)d:\windows\system32\schedsvc.dll (0x751D0000)d:\windows\system32\NTDSAPI.dll (0x767A0000)D:\WINDOWS\System32\MSIDLE.DLL (0x74F50000)D:\WINDOWS\System32\NTMARTA.DLL (0x76CE0000)d:\windows\system32\audiosrv.dll (0x708B0000)d:\windows\system32\wkssvc.dll (0x75170000)d:\windows\system32\cryptsvc.dll (0x74FA0000)d:\windows\system32\certcli.dll (0x75350000)d:\windows\pchealth\helpctr\binaries\pchsvc.dll (0x74F40000)d:\windows\system32\es.dll (0x76B70000)d:\windows\system32\ersvc.dll (0x74F80000)d:\windows\system32\dmserver.dll (0x74F90000)d:\windows\system32\srvsvc.dll (0x75090000)d:\windows\system32\msgsvc.dll (0x74F60000)d:\windows\system32\netman.dll (0x76DE0000)d:\windows\system32\seclogon.dll (0x73D20000)d:\windows\system32\sens.dll (0x722D0000)d:\windows\system32\srsvc.dll (0x751A0000)d:\windows\system32\POWRPROF.dll (0x74AD0000)d:\windows\system32\tapisrv.dll (0x733E0000)d:\windows\system32\PSAPI.DLL (0x76BF0000)d:\windows\system32\trkwks.dll (0x75070000)d:\windows\system32\w32time.dll (0x767C0000)d:\windows\system32\MSVCP60.dll (0x55900000)d:\windows\system32\wbem\wmisvc.dll (0x597A0000)d:\windows\system32\wbem\wbemcomn.dll (0x75290000)D:\WINDOWS\System32\VSSAPI.DLL (0x753E0000)d:\windows\system32\wuauserv.dll (0x74EC0000)D:\WINDOWS\System32\wuaueng.dll (0x01B20000)D:\WINDOWS\System32\ADVPACK.dll (0x75260000)D:\WINDOWS\System32\sfc.dll (0x76BB0000)D:\WINDOWS\System32\sfc_os.dll (0x76C60000)d:\windows\system32\rasmans.dll (0x72480000)d:\windows\system32\WINIPSEC.DLL (0x74370000)d:\windows\system32\netcfgx.dll (0x755F0000)d:\windows\system32\CLUSAPI.dll (0x55560000)d:\windows\system32\browser.dll (0x74FE0000)D:\WINDOWS\System32\winspool.drv (0x73000000)D:\WINDOWS\System32\rastapi.dll (0x72060000)D:\WINDOWS\System32\SXS.DLL (0x75E90000)D:\WINDOWS\system32\comsvcs.dll (0x75730000)D:\WINDOWS\system32\MTXCLU.DLL (0x750F0000)D:\WINDOWS\system32\WSOCK32.dll (0x71AD0000)D:\WINDOWS\system32\colbact.DLL (0x75130000)D:\WINDOWS\System32\RESUTILS.DLL (0x750B0000)D:\WINDOWS\System32\mtxoci.dll (0x750D0000)D:\WINDOWS\System32\unimdm.tsp (0x57CC0000)D:\WINDOWS\System32\uniplat.dll (0x72000000)D:\WINDOWS\System32\kmddsp.tsp (0x57D40000)D:\WINDOWS\System32\ndptsp.tsp (0x57D20000)D:\WINDOWS\System32\ipconf.tsp (0x57D50000)D:\WINDOWS\System32\h323.tsp (0x57D70000)D:\WINDOWS\System32\hidphone.tsp (0x57D60000)D:\WINDOWS\System32\HID.DLL (0x688F0000)D:\WINDOWS\System32\rasppp.dll (0x72240000)D:\WINDOWS\System32\ntlsapi.dll (0x724B0000)d:\windows\system32\ipnathlp.dll (0x66460000)d:\windows\system32\netshell.dll (0x75CF0000)d:\windows\system32\credui.dll (0x76C00000)d:\windows\system32\HNetCfg.dll (0x68880000)D:\WINDOWS\System32\rasadhlp.dll (0x76FC0000)D:\WINDOWS\System32\Wbem\wbemcore.dll (0x75450000)D:\WINDOWS\System32\Wbem\esscli.dll (0x75310000)D:\WINDOWS\System32\Wbem\FastProx.dll (0x75690000)D:\WINDOWS\System32\wbem\wmiutils.dll (0x75020000)D:\WINDOWS\System32\wbem\repdrvfs.dll (0x75200000)D:\WINDOWS\System32\wbem\wmiprvsd.dll (0x597F0000)D:\WINDOWS\System32\NCObjAPI.DLL (0x5F770000)D:\WINDOWS\System32\wbem\wbemess.dll (0x75390000)D:\WINDOWS\System32\winhttp.dll (0x76080000)d:\windows\system32\termsrv.dll (0x752D0000)d:\windows\system32\ICAAPI.dll (0x74F70000)d:\windows\system32\AUTHZ.dll (0x76CC0000)d:\windows\system32\mstlsapi.dll (0x75110000)D:\WINDOWS\System32\REGAPI.dll (0x76BC0000)D:\WINDOWS\System32\wbem\ncprov.dll (0x5F740000)D:\WINDOWS\System32\catsrvut.dll (0x6FB10000)D:\WINDOWS\System32\MfcSubs.dll (0x61990000)D:\WINDOWS\system32\MPR.dll (0x71B20000)D:\WINDOWS\System32\msi.dll (0x76400000)D:\WINDOWS\System32\Cabinet.dll (0x75150000)D:\WINDOWS\system32\urlmon.dll (0x1A400000)D:\WINDOWS\System32\catsrv.dll (0x6FBD0000)D:\WINDOWS\System32\upnp.dll (0x555F0000)D:\WINDOWS\System32\SSDPAPI.dll (0x74F00000)D:\WINDOWS\System32\RASDLG.dll (0x75550000)d:\windows\system32\qmgr.dll (0x5DDD0000)d:\windows\system32\SHFOLDER.dll (0x76780000)D:\WINDOWS\System32\qmgrprxy.dll (0x5DDC0000)D:\WINDOWS\System32\sensapi.dll (0x722B0000)D:\WINDOWS\System32\winrnr.dll (0x76FB0000)D:\WINDOWS\System32\wbem\wbemsvc.dll (0x74ED0000)D:\WINDOWS\System32\actxprxy.dll (0x71D40000)D:\WINDOWS\System32\wbem\wbemcons.dll (0x73D30000)
A Port Reporter szolgáltatás figyeli a portok változásait, és azokat a naplófájlba írja. A változások jelezhetik az adott porton létező kapcsolatok számának növekedését vagy csökkenését, de akár a létező kapcsolatok állapotának megváltozását is. A szolgáltatás rögzíti, ha új kapcsolat jön létre valamely TCP porton, illetve ha egy létező kapcsolat megszűnik, de arról is bejegyzést készít, ha a port TCP-kapcsolatainak állapota módosul. A TCP port állapotai:
 • CLOSE_WAIT
 • CLOSED
 • ESTABLISHED
 • FIN_WAIT_1
 • LAST_ACK
 • LISTEN
 • SYN_RECEIVED
 • SYN_SEND
 • TIMED_WAIT
Az állapot például akkor változik, ha egy ESTABLISHED állapotot használó kapcsolat a CLOSE_WAIT állapotot kezdi használni. A Port Reporter szolgáltatás bizonyos esetekben azt jelezheti, hogy a rendszer üresjárati folyamata (PID 0) használ néhány TCP portot. Ez abban az esetben lehet így, ha a számítógépre telepített egyik program kapcsolatot létesít valamely TCP porttal, majd nagyon gyorsan bontja is a kapcsolatot. A program és a port között létesített TCP-kapcsolat ilyenkor TIMED WAIT állapotban maradhat, noha a program már nem fut. Ennek következtében a Port Reporter szolgáltatás esetleg azt észleli, hogy a port még mindig használatban van, ám mivel az azt használó program már nem fut, nem tudja azonosítani a programot. A TIME WAIT állapot akár több percig is tarthat, annak ellenére, hogy a portot használó folyamat már nem is fut.

A Port Reporter szolgáltatás olyankor is naplóbejegyzést készít, ha a számítógépre telepített valamely program új UDP portot vesz használatba. Ha a program például a 69-es UDP porttal létesít kapcsolatot, a szolgáltatás a PR-PORTS és a PR-PIDS naplófájlba írja a műveletet, az UDP portokra küldött UDP-datagramokat azonban nem naplózza. Csak azt rögzíti, hogy kapcsolatot létesítettek a porttal, illetve hogy az datagramokat fogad. A Microsoft azt tanácsolja, hogy a rendszereseményeket, illetve az alkalmazáseseményeket rögzítő naplót ellenőrizve tanulmányozza a Port Reporter szolgáltatás által naplózott eseményeket. A Port Reporter akkor rögzíti az eseményeket, amikor a szolgáltatás elindul, naplófájlokat hoz létre, leáll vagy hibát észlel. Az események forrása PortReporter jelzéssel szerepel az eseménynaplóban, az események azonosítói 100 és 112 közöttiek.

Mivel a Windows 2000 rendszerek nem támogatják a portok folyamatokhoz rendelését, a PR-PIDS naplófájl a következő sort fogja tartalmazni:
A portok folyamatokhoz rendelése ezen a rendszeren nem végezhető el.


a lap tetejére
További információ
Ha meg szeretné tekinteni a Port Reporter szolgáltatást bemutató élő adást, kattintson a Microsoft Tudásbázis következő számú cikkére:
840832 Terméktámogatás – élő adás: Port Reporter (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
Hivatkozások
A PortQry eszköz 2.0-s verziója a Port Reporter eszközhöz hasonló segédprogram, amellyel nyomon követheti egy adott porton vagy egy adott folyamat által használt összes porton folyó tevékenységet.Ha további tájékoztatásra van szüksége a PortQry eszköz 2.0-s verziójáról, kattintson a következő cikkszámra, és olvassa el a Microsoft Tudásbázis cikkét:
832919 A PortQry eszköz 2.0-s verziójának új szolgáltatásai és funkciói (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
Fontos! A grafikus felhasználói felülettel rendelkező PortQueryUI eszköz letölthető. A PortQueryUI eszköz néhány szolgáltatása könnyebbé teszi a PortQry használatát. Ha meg kívánja szerezni a PortQueryUI eszközt, töltse le a következő Microsoft webhelyről: Fontos! A Port Reporter Parser eszköz, amely a Port Reporter naplófájljainak elemzéseire szolgál, most letölthető. A Port Reporter Parser eszköz számos speciális szolgáltatása segít a Port Reporter naplófájljainak elemzésében. Ha meg kívánja szerezni a Port Reporter Parser eszközt, töltse le a következő Microsoft webhelyről: a lap tetejére
biztonság portok tcp/ip naplózás TIME_WAIT PR-Parser, Port Reporter Parser, eseménykezelés, IR, feltörés, ártalmas szoftver
Tulajdonságok

Cikkazonosító: 837243 - Utolsó ellenőrzés: 01/14/2005 13:31:00 - Verziószám: 6.1

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows XP Professional, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

 • kbhowtomaster KB837243
Visszajelzés