MS Message Analyzer 中的进程名称

Question 1

似乎需要 Windows_Kernel_Trace 消息来提供进程名称。我遇到了与您相同的问题，即在会话开始之前应用了会话过滤器（包括 IP 地址过滤器）。我将过滤器更改为：

!(*Port in [3389, 1494, 1503]) and (IPv4.Address == 10.0.0.123 or Windows_Kernel_Trace)

现在大多数消息中都会出现进程名称。

Answer

似乎需要 Windows_Kernel_Trace 消息来提供进程名称。我遇到了与您相同的问题，即在会话开始之前应用了会话过滤器（包括 IP 地址过滤器）。我将过滤器更改为：

!(*Port in [3389, 1494, 1503]) and (IPv4.Address == 10.0.0.123 or Windows_Kernel_Trace)

现在大多数消息中都会出现进程名称。

Question 2

我将其作为中间答案发布，直到我收到微软关于此问题的详细评论（这可能永远不会发生）。

通过反复试验，我发现上述问题发生了仅有的当我指定会话过滤器时事先的开始实时跟踪。我使用非常大的基于 IP 的过滤，如下所示：

*Port!=3389 and
((IPv4.Address in 2.16.106.48/28 ) or
(IPv4.Address in 2.16.106.64/27 ) or
(IPv4.Address in 2.16.106.96/28 ) or
(IPv4.Address in 2.16.106.112/29 ) or
(IPv4.Address in 2.16.106.120/31 ) or
(IPv4.Address in 2.16.106.122/32 ) or
(IPv4.Address ==  2.19.177.129 ) or
...
many lines

但如果我应用会话过滤器后会话启动后，一切正常，进程名称按预期显示。我无法正确解释这种现象，因为过滤与进程名称（由内核提供）无关，显然它与进程名称无关，应该与您应用过滤器的时刻无关：无论是会话开始之后还是之前。

这又是一个微软的令人沮丧的事情......

Answer

我将其作为中间答案发布，直到我收到微软关于此问题的详细评论（这可能永远不会发生）。

通过反复试验，我发现上述问题发生了仅有的当我指定会话过滤器时事先的开始实时跟踪。我使用非常大的基于 IP 的过滤，如下所示：

*Port!=3389 and
((IPv4.Address in 2.16.106.48/28 ) or
(IPv4.Address in 2.16.106.64/27 ) or
(IPv4.Address in 2.16.106.96/28 ) or
(IPv4.Address in 2.16.106.112/29 ) or
(IPv4.Address in 2.16.106.120/31 ) or
(IPv4.Address in 2.16.106.122/32 ) or
(IPv4.Address ==  2.19.177.129 ) or
...
many lines

但如果我应用会话过滤器后会话启动后，一切正常，进程名称按预期显示。我无法正确解释这种现象，因为过滤与进程名称（由内核提供）无关，显然它与进程名称无关，应该与您应用过滤器的时刻无关：无论是会话开始之后还是之前。

这又是一个微软的令人沮丧的事情......

MS Message Analyzer 中的进程名称

答案1

答案2

相关内容