了解 Pktmon：Windows 10 的內建網路監控工具

在發布 Windows 10 October 2018 更新時，微軟悄悄為Windows 10添加了一個名為 Pktmon 的內建命令列形式的網路資料包嗅探器。之後，微軟為這個工具添加了一些功能，以方便用戶使用。

資料包追蹤器或網路分析器是一種程序，可讓您監控通過電腦網路裝置的網路流量，直到單一資料包層級。

Pktmon：Windows 10內建的網路監控工具

首次發佈時，Pktmon 僅支援事件追蹤日誌 (ETL) 格式，這是 Microsoft 建立的專有日誌格式。後來，微軟添加了PCAPNG日誌檔案支援和即時監控，我們將在本文中了解這一點。

要使用 Pktmon，您需要在 Windows 10 上啟動具有管理員權限的命令提示符，因為程式需要管理員權限。若要接收有關如何使用程式的說明，請在命令提示字元中輸入pktmon help。

pktmon幫助文檔

若要取得有關特定指令的更多協助說明，請輸入指令pktmon [command name] help。例如，要查看有關“comp”命令的文檔，您可以輸入：

pktmon comp help

使用幫助命令

您可以使用幫助查看子命令的說明，例如：

pktmon comp list help

要熟悉 Pktmon，觀看教學是最有用的方法，因此您應該在實際使用此工具之前嘗試學習。

• 監控並節省 Windows 10 上的網路容量

如何使用Pktmon網路監控工具

與具有圖形使用者介面的網路監控工具相比，您可能需要更長的時間來適應 Pktmon 的命令列介面。

在監控封包之前，首先需要使用pktmon filter add指令建立過濾器，該指令指定要監控的流量。

例如，您可以使用下列命令監控網路上的所有網路流量：

pktmon filter add -i 192.168.1.0/24

…或透過以下方式監控DNS流量：

pktmon filter add -t UDP -p 53

如果您還沒有弄清楚如何操作，您應該使用pktmon filter add help命令來了解如何建立過濾器。

在本文中，作者建立了一個過濾器來監控 DNS 流量，如上所述。若要查看您建立的過濾器，請輸入命令：

pktmon filter list

列出已建立的監控過濾器

若要開始監控所有網路介面上的 DNS 流量並即時顯示活動，您將使用下列命令：

pktmon start --etw -p 0 -l real-time

上面的範例使用-p 0參數，因此它會捕獲整個資料包。您也可以使用-c參數後接介面的索引 ID來指定要監視的特定網路介面。若要取得網路介面和索引 ID (ifIndex) 的列表，可以使用下列命令：

pktmon comp list

當您開始監控流量時，您將在命令提示字元中看到即時顯示擷取的 DNS 封包，如下所示。

即時監控DNS流量

若要停止追蹤流量，請按Ctrl + C。完成後，將在執行 Pktmon 的目錄中建立PktMon.etl日誌檔案。

然而，ETL 檔案不是一個好的選擇，因為許多應用程式不支援它們。您可以使用pktmon pcapng指令將 ETL 檔案轉換為 PCAPNG 檔案。例如，要將 PktMon.etl 轉換為名為PktMon.pcapng的 PCAPNG 文件，請輸入以下命令：

pktmon pcapng PktMon.etl -o PktMon.pcapng

將日誌檔案轉換為 PCANPNG 格式後，您可以將其載入到Wireshark等程式中，以取得有關每個 DNS 請求的詳細資訊。

使用 Wireshark 分析 Pktmon 日誌

如您所見，Pktmon 是一個極其強大的工具，可讓您深入了解網路中運行的流量類型。

• 全面的網路監控工具集

同時，Pktmon 使用起來可能比較複雜，因此在執行命令之前應該熟悉說明文件。