概要
本文讨论 Port Reporter 工具。Port Reporter 工具在运行 Windows Server 2003、Windows XP 和 Windows 2000 的计算机上作为一项服务运行。此工具可用于记录 TCP 和 UDP 端口活动。本文包含有关如何获取和安装此工具的信息。安装此工具时,安装程序会创建相应的注册表项并安装 Port Reporter 服务。
本文还包含有关如何使用启动参数配置 Port Reporter 服务的信息,以及有关 Port Reporter 服务所生成的 Port Reporter 日志文件的信息。
本任务的内容
简介
概述
获取 Port Reporter 工具
安装 Port Reporter 服务
将 Port Reporter 服务安装到默认位置
将 Port Reporter 服务安装到默认位置以外的其他位置
配置和启动 Port Reporter 服务
删除 Port Reporter 服务
解释 Port Reporter 日志文件
PR-INITIAL 日志文件
PR-PORTS 日志文件
PR-PIDS 日志文件
参考
简介
本文包含有关如何获取、安装和配置 Port Reporter 工具的信息。Port Reporter 工具可用于记录运行 Microsoft Windows Server 2003、Microsoft Windows XP 或 Microsoft Windows 2000 的计算机上的 TCP/IP 端口数据。
返回页首
概述
Port Reporter 工具可用于记录 TCP 和 UDP 端口活动。此工具是一个小程序,它在运行 Windows Server 2003、Windows XP 或 Windows 2000 的计算机上作为一项服务运行。
在基于 Windows Server 2003 和 Windows XP 的计算机上,此服务可记录以下信息:
所使用的端口
使用端口的进程
进程是否为一项服务
进程已加载的模块
运行进程的用户帐户
在基于 Windows 2000 的计算机上,此服务记录所使用的端口和使用端口的时间。
可以使用 Port Reporter 工具记录的信息来帮助您跟踪端口使用情况和解决某些问题。出于安全考虑,Port Reporter 工具所记录的信息也是非常有用的。
返回页首
获取 Port Reporter 工具
要获取 Port Reporter 工具,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/downloads/details.aspx?FamilyId=69BA779B-BAE9-4243-B9D6-63E62B4BCD2E&;displaylang=en
返回页首
安装 Port Reporter 服务
运行安装程序 (Pr-Setup.exe) 以安装 Port Reporter 时,安装程序将执行以下操作:
将以下注册表子项添加到 Windows 注册表中:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\PortReporter
Port Reporter 服务要求此注册表项将相应项记录到计算机上的应用程序事件日志中。
安装 Port Reporter 服务。
安装程序将为 Port Reporter 工具创建一个服务对象,然后将此对象添加到服务控制管理器数据库中。
返回页首
将 Port Reporter 服务安装到默认位置
默认情况下,Port Reporter 服务安装在硬盘上的以下文件夹中:
驱动器:\Program Files\PortReporter
将 Port Reporter 服务安装到默认位置:
以本地管理员组成员的身份登录到计算机。
退出计算机上正在运行的所有程序,包括“管理工具”中的“服务”工具和“事件查看器”。
双击“Pr-Setup.exe”运行安装程序。
当系统提示您将 Port Reporter 工具安装到 Program Files 文件夹中时,请按 Y 键。
按 Y 键后,安装程序将在 Program Files 文件夹中创建一个名为 PortReporter 的子文件夹。Portreporter.exe 被复制到此子文件夹中,并注册为服务控制管理器中的服务。
返回页首
将 Port Reporter 服务安装到默认位置以外的其他位置
将 Port Reporter 服务安装到默认位置以外的其他位置:
以本地管理员组成员的身份登录到计算机。
退出计算机上正在运行的所有程序,包括“管理工具”中的“服务”工具和“事件查看器”。
将 Pr-setup.exe 文件和 Portreporter.exe 文件复制到要安装 Port Reporter 工具的文件夹中。
注意:必须从固定的本地驱动器运行此安装程序。不能从网络驱动器或 CD-ROM 驱动器运行此安装程序。
在命令提示符下,键入以下命令行,然后按 Enter 键,其中文件夹路径 是驱动器和包含 Pr-setup.exe 文件和 Portreporter.exe 文件的文件夹的路径。
pr-setup.exe -d 文件路径
例如,要将此工具安装到 D:\Tools\Port Reporter 文件夹中,请键入
pr-setup.exe ?d ‘d:\tools\port reporter\’
您将在命令提示窗口中收到类似以下内容的输出:
C:\temppr-setup.exe -d PathOfFolder
Installing Port Reporter service:PathOfFolder
Creating service...completed successfully
Creating registry key and values...completed successfully
Setup has successfully installed the Port Reporter service
The service is currently stopped and set to manual startup type
Please use the services applet in the control panel to configure
and start the Port Reporter service
press any key to exit setup
按任意键退出安装程序。
返回页首
配置和启动 Port Reporter 服务
要验证 Port Reporter 服务是否安装成功并启动此服务,请按照下列步骤操作:
单击“开始”,右键单击“我的电脑”,然后单击“管理”。
展开“服务和应用程序”,然后展开“服务”。
在右窗格中,验证是否列出了 Port Reporter 服务。
要启动此服务,请双击服务名称,然后单击选择“启动”按钮。单击“确定”。
Port Reporter 服务将在应用程序日志中创建一个日志项,表明此服务已启动。
默认情况下,Port Reporter 服务的启动类型设置为使用“手动”设置。如果希望 Windows 启动时此服务自动启动,请将启动类型设置为使用“自动”设置。
默认情况下,Port Reporter 服务使用本地系统帐户登录到计算机。通过使用本地系统帐户,Port Reporter 服务可以收集有关管理员帐户或其他用户帐户无权访问的进程的详细信息。因此,Microsoft 建议您不要修改此设置。
注意:因为此服务在本地系统帐户的上下文中运行,所以 Microsoft 建议您确保安装了 Port Reporter 的文件夹的安全。无论将 Port Reporter 安装到默认位置 (%SystemDrive%\Program Files\PortReporter) 中,还是自定义位置中,都必须执行以下操作步骤:
仅将 Port Reporter 安装在一个 NTFS 文件系统分区上
调整安装文件夹上的访问控制列表 (ACL),从而只有本地 Administrators 组才能访问此文件夹。为此,请按照下列步骤操作:
启动 Windows 资源管理器,然后查找安装文件夹。默认情况下,安装文件夹是 %SystemDrive%\Program Files\PortReporter。
右键单击此文件夹,然后单击“属性”。
在文件夹属性对话框中,单击“安全”选项卡,然后检查有权访问此文件夹的组名和用户名。只有本地 Administrators 组和系统帐户才有权访问此文件夹。
选择列出的所有其他组和用户,然后单击“删除”。当列表中仅包含本地 Administrators 组和系统帐户时,请单击“应用”,然后单击“确定”。
日志文件的位置
默认情况下,Port Reporter 工具尝试在以下文件夹中创建日志文件:
%systemroot%\System32\LogFiles\PortReporter
如果此文件夹不存在,将自动创建。可以使用“Port Reporter”服务对话框的“常规”选项卡上指定的启动参数来配置日志文件的位置。要指定日志文件的文件夹,请使用 -ld 命令行选项,后跟要使用的文件夹的名称。确保用单引号 () 将文件夹的名称括起来。例如,如果指定以下启动参数,则启动 Port Reporter 服务时,Port Reporter 服务将在 C:\Program Files\Port Reporter 文件夹中创建日志文件:
-ld ‘c:\program files\port reporter’
日志文件的大小
默认情况下,Port Reporter 服务继续写入日志文件,直到日志文件大小达到 5 MB。日志文件大小达到 5 MB 后,将创建一个新的日志文件。要配置日志文件的大小,请使用 -ls 命令行选项。可以指定介于 1000 KB 和 102400 KB 之间的日志文件大小。例如,如果您指定以下启动参数,每次日志文件达到 7000 KB 时,Port Reporter 服务都将创建一个新的日志文件:
-ls 7000
使用所需的启动参数配置 Port Reporter 服务后,启动此服务。启动 Port Reporter 服务时,以下两个事件将记录到应用程序事件日志中:
类型: 信息
来源: PortReporter
类别: 无
事件 ID: 100
描述:
The Port Reporter service was started.
类型: 信息
来源: PortReporter
类别: 无
事件 ID: 100
描述:
The Port Reporter service successfully created log files in the following directory:PathOfLogFiles
返回页首
删除 Port Reporter 服务
要删除 Port Reporter 服务,请在命令提示符下键入以下命令行,然后按 Enter 键:
pr-setup.exe -u
您将在命令提示窗口中收到类似以下内容的输出:
Uninstalling Port Reporter service...
