所有关于Windows10中的网络嗅探器工具PktMon。exe

　　网络嗅探器也称为数据包嗅探器，是用于实时监控计算机网络链接上的数据流的软件工具。数据包意义上的数据，通过网络传输的信息以＂数据包＂的形式传输。网络嗅探器软件工具可以是独立的软件，也可以是具有适当软件或固件的硬件设备。网络嗅探器首先检查在网络上的计算机之间流动的数据包流，也使用网络嗅探器可以监视联网计算机和更大的 Internet 之间的数据流。数据包从一台计算机发送到另一台计算机，最初，数据包被分成更小的段，并附有目的地和源地址，以及其他有用的信息。如果您的系统上安装了 Packet Sniffer，那么您可以分析网络的性能，从而找出网络中的瓶颈。网络管理员主要使用数据包嗅探器，它可以帮助他们解决网络问题，网络入侵删除系统以监视攻击者，发现网络中的瓶颈，并将二进制网络数据转换为人类可读的形式，例如收集清晰的用户名和密码， VoIP 通信、映射网络等。这些是数据包嗅探器的一些非法用途，除非管理员在您的组织中拥有该特定网络的权限。数据包嗅探器也可以称为网络分析器或协议分析器。
　　市场上有许多网络嗅探器工具，但 Wireshark 被广泛认为是最受欢迎的网络嗅探器工具。它是一个免费的开源应用程序，使用起来非常简单舒适。大多数网络管理员建议使用 Wireshark 进行网络故障排除。今天在本文中，我们将了解 PktMon.exe，PktMon 是一个内置的网络嗅探器工具，它与 Windows 10 操作系统集成，它首先包含在 Microsoft 2018 年 10 月更新版本中。这不是像 Wireshark 这样的高级工具。它是一个非常简单的命令行工具，只有几条命令行。
　　如何打开 PktMon？
　　PktMon.exe Network Sniffer 工具内置于 Microsoft 2018 年 10 月更新版本中，位于 C :Windowssystem32pktmon.exe。 Pktmon 用于监控内部数据包传播和丢包报告。
　　打开命令提示符或 PowerShell。
　　现在将命令提示符导航到 C 盘，首先键入 Cd，然后按 Enter。
　　现在输入 Pktmon 并回车，这将打开 Pktmon.exe。
　　此命令没有正确的使用指南，但本文将指导您使用一些命令，监控网络数据包。
　　PktMon 中包含哪些命令？
　　启动 PktMon.exe 后，键入 Help，然后按 Enter，这将显示 PktMon 中包含的可用命令列表。
　　filter 管理数据包 filters.comp 管理注册的组件。reset 将计数器重置为零。启动数据包监控。停止停止监控。格式将日志文件转换为 text.unload 卸载 PktMon 驱动程序。
　　如果您想了解更多关于这些命令然后在帮助下键入命令。例如，Pktmon filter help 这将为您提供有关该命令的更多详细信息。 PS C:> pktmon 过滤器帮助 pktmon 过滤器 { 列表 |添加 |删除 } [选项 |帮助] 命令
　　list 显示活动数据包过滤器。添加 添加过滤器以控制报告哪些数据包。remove 删除所有过滤器。
　　您可以对其他命令执行相同操作。
　　如何使用 PktMon 进行监控和故障排除？
　　网络故障排除包含三个部分，首先，我们必须过滤掉特定的IP或端口来监控。接下来我们需要开始监控特定的端口或 IP。最后，我们必须导出该日志，使用该日志我们可以继续进行故障排除。
　　创建一个过滤器：
　　网络流包含大量没有过滤的信息，很难监控或排除故障，所以首先，我们需要创建一个过滤器。
　　在提升模式下打开命令提示符或 PowerShell。
　　键入下面提到的命令以命令启动过滤器。
　　Pktmon 过滤器添加 -p 443
　　您可以通过在命令末尾键入帮助来获取有关任何命令的更多信息。执行上述命令后，该工具将开始过滤特定的端口地址。然后键入 Pktmon filter list 以列出捕获的跟踪。如果要删除 Trace 类型＂pktmon filter remove＂。开始监控：
　　真正的故障排除需要监控，Pktmon 不是自动化工具，所以在应用过滤器后我们需要手动启动监控。
　　要开始监控，请键入以下命令，
　　pktmon 启动 –etw -p 0 -c 40
　　这里的 Pktmon start 是帮助您启动监视的命令，然后 - -etw 是 Windows 的事件跟踪，它启动记录会话以进行数据包捕获。 -c 表示组件，如果列出过滤器详细信息，则可以查看组件 ID，通过选择 ID，您可以仅监视该特定组件。如果您想了解有关 Monitoring 的更多信息，请通过在命令末尾键入 help 来获取帮助。 pktmon start help 一旦你执行了这个命令，它将开始监控并在C盘创建一个日志文件。正如我所提到的，它不是一个自动化工具，因此您需要使用＂停止＂参数手动停止它。键入 Pktmon Stop 停止监控。
　　导出日志文件：
　　监控命令会将日志文件留在 C 盘。但是你不能打开这个，因为这个填充是以 ETL 格式保存的，ETL 文件是由 Microsoft Tracelog 软件应用程序创建的日志文件。
　　使用 Pktmon 工具，我们可以将此 ETL 日志文件转换为人类可读的格式，如文本文件格式。输入下面提到的命令来更改文件格式。
　　pktmon 格式 PktMon.etl -o component_ID_40.txt
　　注意：从 C 盘更改 ETL 文件位置不会处理该命令。执行该命令后，您可以在 C 驱动器本身中看到转换后的文件。要了解有关这些命令的更多信息，请使用命令末尾的帮助。