Estou tentando rastrear um problema em que algo está fazendo com que minha conta de diretório ativo seja bloqueada. Acho que poderia descobrir se posso registrar todas as conexões em dois servidores específicos.
Eu quero registrar todas as conexões TCP de saída (talvez UDP também) para os servidores X e Y junto com o processo que iniciou a conexão (PID, caminho EXE, & comando completo usado para iniciar o processo). Como eu faço isso?
Eu tentei o TCPView, mas isso só me mostra as conexões TCP atuais. Quero conexões dos últimos 15 minutos, mesmo que elas já tenham morrido.
Eu recomendaria o uso de Process Monitor . É feito pelas mesmas pessoas que fizeram TCPView, mas mostra muito mais. Também permite que você registre as informações no disco para que você possa ver mais tarde.
Observação: o programa precisará estar aberto e em execução para gravar os registros, mas se você configurá-lo para salvar os registros em disco enquanto os registra, poderá revisá-los posteriormente.
Wireshark é um bom lugar para começar. É uma ferramenta bastante versátil e amplamente utilizada. Um déficit, no entanto, é que a informação do processo nunca passa da NIC, o que significa que ela pode não ser adequada para sua pergunta específica. Confira aqui para algumas sugestões sobre o que pode ser feito. Outra ferramenta que pode ajudar é netmon direto de M $.