Port Reporter
けんさんとこ経由Microsoft PortReporter TCP/UDPポートの利用履歴作成ツール(河端善博の .TEXT でウェブログ)より。
マイクロソフト謹製。Windows 2000, XP, Windows Server 2003で動作する、通信履歴取得プログラム。
おーざっぱには、
- 通信そのものに関する情報
- 通信を実施した主体(プログラムやサービスに関する情報)
が入る。詳しくは川端*1河端さんのサイトを見ていただくとして、簡単に確認した結果は以下のとおり。
- インストールするとサービスとして動作する。
最初は停止してるので、管理ツールで当該サービス(Port Reporterという名前)を動かしてやる必要はあるか。
- 各種ログファイルは、%SystemRoot%\system32\Logfiles\PortReporter配下に作成される。
- ログファイルpr-ports-(日時).logというファイルに、ネットワークの接続情報が格納される
サービスを開始した日時がファイル名に入る(たぶん)。
たとえば、2004年3月16日14時31分23秒に起動したら、
という名前のファイルに情報が格納される。
pr-ports-04-03-16-14-31-24.log
サービスをとめたら、そのファイルには追加して情報はかかれず、サービスを起動したらまた新たに上記の規則にしたがってファイルが作成される。
- ログファイルpr-ports-(日時).logには、以下の情報が入る。
- ログファイルpr-pids-(日時).logというファイルに、ネットワーク接続をしたプログラムに関する情報が入る
ファイル作成のタイミングはpr-ports-(日時).logと同じ。
このあたりよくわかってなかったりするけど、おそらくプログラム(サービスも)および、そのプログラムやサービスが使うDLLに関する情報も入るのだろうなぁ、と。
- あくまで「通信しているプログラム」についての情報が入るので、サーバだろうがクライアントだろうが関係なく情報が取得される。
- ログファイルpr-initial-(日時).logというファイルに、Port Reporterサービスが起動した時点のシステムの状態が記録される。
これはサービス起動時にのみ作成され、あとで追記はされない(ように見える)。
*1:すみません(_ _)名前を間違って記述してました…