aka automatic netstat loging

[drongo]

кто видел програмку, которая каждую секунду в фоновом режиме делает лог netstat -b, an и сохраняет это счастье в лог с удобным внутренним поиском / фильтром .?

[Jolly Rojer]

"netstat -an>C:\netstat.txt" так не пойдет?

[aintrust]

Если по-простому: я бы посоветовал сделать циклический .bat файл на основе утилиты tcpvcon (консольной версии утилиты tcpview) от Sysinternals. У этой утилиты есть ключ -c, позволяющий делать вывод информации в формате csv - это удобно для последующего анализа, например в Excel. Насчет "каждую секунду" я не уверен, особенно если у вас много коннектов - в этом случае даже одиночный вывод утилиты занимает несколько секунд (что, впрочем, характерно и для утилиты netstat).

PS. А для чего вам это нужно? Может, лучше воспользоваться сниффером?

[PavelA]

X-NetStat делает такое автоматически, если не отменить в настройках. Правда, программа платная.

[drongo]

Спасибо всем Просто я тут пытаюсь продвигать наш сервис на одном местном израильском форуме, человек попросил такую возможность, а никто там толком не знает как , да и мне интересно стало как это сделать.

Добавлено через 1 час 58 минут

auintrust,
Если не трудно напиши пожалуйста рабочий батник.
Мысли были, но что то не то c bat...

[aintrust]

auintrust,
Если не трудно напиши пожалуйста рабочий батник.
Мысли были, но что то не то c bat...

Ну, что-то типа такого (как самый простой вариант, с использованием только системных команд):

@echo off
C:
cd \tcpvcon
date /T > tcpvcon.log
time /T >> tcpvcon.log
:loop
echo --- >> tcpvcon.log
tcpvcon -c >> tcpvcon.log
ping -n 2 -w 1000 localhost > NUL
goto :loop

Команда ping в данном случае моделирует паузу в 1 секунду, команда echo --- пишет в файл журнала разделитель между отдельными выводами команды tcpvcon (если это нужно), команды date и time просто выводят текущую дату и время в самом начале журнала. Файл после запуска будет выполняться бесконечно, поэтому останавливать его нужно принудительно через комбинацию клавиш Ctrl-C.

Конечно, это не идеальный вариант - это всего лишь самый простейший... =) Нужно точно знать, что требуется видеть в журнале для последующей обработки, и, в соответствии с этим, сформировать батник... ну, или переписать все на более мощном языке. =)

[drongo]

лог файл не создаётся ...

[borka]

лог файл не создаётся ...

Странно. После первого же "... > tcpvcon.log" должен создаться tcpvcon.log в текущем каталоге.

[Numb]

Если нужны только данные, которые предоствавляет netstat, почему не запустить ее в цикле? последним параметром в списке утилита принимает интервал для повтора в секундах. Будучи запущенной с указанным интервалом, она повторяет работу в цикле до тех пор, пока вы ее не прервете. Соответственно, Вариант от Jolly Rojer измененный до "netstat -a -n 10 > C:\netstat.txt" даст лог-файл, куда будут писаться результаты с интервалом в 10 секунд. Или я чего-то недопонял, или велосипед изобретаем.

[drongo]

Numb,показывает только локальные локалхост : port и без апликаций- мало

Добавлено через 2 минуты

aintrust, Может что с копированием..., прикрепи пожалуйста в зипе с паролем -> рабочий батник .

[borka]

Numb,показывает только локальные локалхост : port и без апликаций- мало

В таком формате: "netstat -b -a -n > netstat.txt" показывает и внешний адрес, и приложения:
Активные подключения

Имя Локальный адрес Внешний адрес Состояние PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 896
d:\windows\system32\WS2_32.dll
D:\WINDOWS\system32\RPCRT4.dll
d:\windows\system32\rpcss.dll
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\ADVAPI32.dll
[svchost.exe]

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
[Система]
...
TCP 192.168.1.34:1138 216.246.90.119:80 ESTABLISHED 504
[IEXPLORE.EXE]

TCP 192.168.1.34:1141 216.246.90.119:80 ESTABLISHED 504
[IEXPLORE.EXE]

TCP 192.168.1.34:1143 64.233.179.104:80 ESTABLISHED 504
[IEXPLORE.EXE]

UDP 0.0.0.0:1149 * 504
[IEXPLORE.EXE]

[drongo]

борка, спасибо за наводку но не сработало , а вот так :

Код:

netstat -b -n 10 > C:\netstat.txt

получилось, только вот на win2000 не получиться ;(

[aintrust]

@ Numb, borka

netstat был предложен с самого начала. Видимо, он чем-то не устроил drongo... На мой взгляд, вывод netstat (и особенно с ключом -b) несколько неудобен для просмотра (вариант с X-NetStat этом плане более предпочительный) и, тем более, для автоматического анализа и дальнейшей фильтрации (а это было изначальным условием задачи). По этой причине я предложил утилиту tcpvcon - она умеет выводить в формате CSV, что в дальнейшем легко экспортировать в Excel или в любую базу данных, а потом уже делать любые анализы.

@ drongo

Закинул батник вместе с "инструкцией по применению" в личку. Кстати, а на какой ОСи ты пытаешься все это сделать? Батник 100% будет работать на XP и Win2k, про остальное я уже забыл.

PS. Я полагаю, что столько мнений в этой ветке образовалось лишь потому, что не совсем ясно, что и в каком виде нужно получить в итоге. От этого в полной мере зависит решение задачи и задействованные в нем тулзы. Мой вариант - всего лишь вариант. Он ничем не лучше использования netstat (ну, и не хуже)... =)

[drongo]

aintrust ,Получилось, только создался текстовый лог, хотелось бы в CSV как и обещал ...

[aintrust]

aintrust ,Получилось, только создался текстовый лог, хотелось бы в CSV как и обещал ...

В вызове утилиты tcpvcon оставлен ключ -c, т.е. в батнике написано вот так?

Код:

tcpvcon -c >> tcpvcon.log

Должен создаваться текстовый файл, где строки записаны в формате csv (comma separated values, т.е. все значения в строке выводятся через запятую).

[drongo]

В вызове утилиты tcpvcon оставлен ключ -c, т.е. в батнике написано вот так?

Код:

tcpvcon -c >> tcpvcon.log

Должен создаваться текстовый файл, где строки записаны в формате csv (comma separated values, т.е. все значения в строке выводятся через запятую).

ясно, я поменял в батнике сразу на csv - создаётся автоматом и не надо делать лишних манипуляций .

Код:

@echo off
C:
cd \tcpvcon
date /T > tcpvcon.csv
time /T >> tcpvcon.csv
:loop
echo --- >> tcpvcon.csv
tcpvcon -c >> tcpvcon.csv
ping -n 2 -w 5000 localhost > NUL
goto :loop