我正在尝试查找导致我的 Active Directory 帐户被锁定的问题。我认为如果我可以记录与 2 个特定服务器的所有连接,我就能找出原因。
我想记录所有传出的 TCP 连接(也可能是 UDP)到服务器X和是以及哪个进程启动了连接(PID、EXE 路径和用于启动进程的完整命令)。我该怎么做?
我尝试了 TCPView,但它只显示当前的 TCP 连接。我想要过去 15 分钟的连接,即使它们已经断开。
答案1
我建议使用进程监控。它是由开发 TCPView 的同一批人开发的,但显示的内容更多。它还允许您将信息记录到磁盘,以便您以后查看。
注意:程序需要打开并运行才能记录日志,但如果您将其设置为在记录日志时将日志保存到磁盘,则您以后可以随时查看它们。