我需要记录所有入站Windows 2008R2 服务器上的 TCP 连接,但仅包括源 IP、源端口、目标 IP 和目标端口。
我愿意不是我想要记录有效载荷,而且我确实这么做了不是想要包括出站连接或源自主机本身的连接。
我只是想获得几天内所有入站连接的高级摘要,以便能够一眼看出什么连接到了该服务器以及从哪里连接。
如果能看到每个唯一连接 (=SourceIP:Port -> DestIP:Port 组合) 只有一行的摘要就好了,但只要信息可以以 CSV 格式记录/导出,我总是在 Excel 中这样做。
我看的第一个工具是 Wireshark,但我不知道如何不包括有效载荷。
我查看了进程监视器,但没有看到如何过滤出站连接,而且输出也不太符合我的需要。
我发现最接近的是 TcpLogView(NirSoft),但它无法过滤出站连接或源自本地服务器的连接。
是否存在一个工具可以满足我的需求?
谢谢。
答案1
在 Wireshark(此处为 1.12.4)中:您可以尝试菜单上的“统计信息”并使用“对话”或“端点”工具(无论它适合您的需求),一旦到达那里,您可以选择显示所有或显示的数据包的连接统计信息(按 MAC、IP、TCP 等)。要导出到 CSV,在每个对话框中您都会看到一个“复制”按钮。这会将对话框中显示的统计信息以 CSV 格式复制到剪贴板,现在您只需复制并粘贴到记事本即可。
答案2
我认为您可以通过打开 Windows 防火墙中的日志记录来完成您的要求: https://technet.microsoft.com/en-us/library/Cc947815%28v=WS.10%29.aspx#bkmk_ToenableWindowsFirewallandconfigurethedefaultbehavior