出版
Windows管理者は、ネットワークトラフィックや異常なプロセスを追跡し、それらをネットワークトラフィックと照合しなければならない場合があります。ここでは、ポートレベルとプロセスレベルでの接続フォレンジックに役立つスクリプトを紹介します。
あるサーバーから別のサーバーへのトラフィックパターンを確認するために、ネットワークツールを頻繁に使用することがあるかもしれません。Windows Server 2008(およびそれ以前のバージョンのWindows Server)では、接続時にローカルでその情報を取得できます。netstatコマンドとtasklistコマンドを組み合わせることで、Windows Server上のポートを使用しているプロセスを特定できます。
次のコマンドは、ポート レベルで使用されているネットワーク トラフィックを表示します。
ネットスタット -a -n -o
-oパラメータは、ポートを使用している関連プロセス識別子(PID)を表示します。このコマンドは、図Aに示すような出力を生成します。
図A
netstat の出力にリストされた PID を使って、Windows タスク マネージャー ( taskmgr.exe ) で確認するか、前の手順で取得したポートを使用している特定の PID でスクリプトを実行できます。その後、問題のポートに対応する特定の PID を指定してtasklistコマンドを実行できます。前の例では、ポート 5800 と 5900 が PID 1812 によって使用されているため、 tasklistコマンドを使用すると、これらのポートを使用しているプロセスが表示されます。図 B はこのクエリを示しています。
図 B
これにより、ポートを使用している原因がVNCであることが特定されます。ポートについてGoogleで簡単に検索すれば同じ結果が得られるかもしれませんが、この手順はWindows Server上で実行されている可能性のあるウイルスプロセスを特定する際に非常に役立ちます。
毎週水曜日に配信される無料のWindows Serverニュースレターで、Windows Server 2003とWindows Server 2008の最新情報やヒントをチェックしましょう。今すぐ登録して、今すぐ始めましょう!
リック・ヴァノーバー
リック・ヴァノーバーは、オハイオ州コロンバスにあるAlliance Data社のITインフラストラクチャ・マネージャーです。VMware VCP、Microsoft Windows Server 2008 MCITP、Windows Server 2003 MCSAなどのIT認定資格を保有しています。以前は、ミシガン州グランドラピッズのDematic Corp(旧Siemens L&A、Siemens Dematic、Rapistan)で、最新のハードウェアとソフトウェア製品を組み合わせたカスタムソフトウェアソリューションをマテリアルハンドリング業界向けに展開するなど、様々な職務を経験しました。リックへの連絡先は[email protected]です。Twitterでは@RickVanoverをフォローしてください。
