troushoo

xperf を用いて、どのプロセスがネットワーク通信を行ったかを調べる方法

xperf を用いて、どのプロセスがネットワーク通信を行ったかを調べる方法

概要

TechEd North America 2014 (= Microsoft のカンファレンス) のセッションで紹介されていた、xperf を用いたどのプロセスがネットワーク通信を行ったかを調べる方法を紹介します。

内容

xperf とは?
xperf とは、Windows の様々なトレースを取得できるツールで、Microsoft よりフリーで公開されております。
インストールも簡単で、Windows SDK のインストール時に、”Windows Performance Toolkit” にチェックを入れるだけです。
"Windows Performance Toolkit” にチェックを入れる

すると、C:\Program Files (x86)\Windows Kits\8.1\Windows Performance Toolkit\ にインストールされます。
xperf

xperf を用いた、どのプロセスがネットワーク通信を行ったを調べる手順
0. 管理者権限のコマンドプロンプトを起動します。

1. 以下のコマンドを実行し、ネットワークのトレースを開始します。

xperf –on PROC_THREAD+LOADER+NETWORKTRACE

xperf –on PROC_THREAD+LOADER+NETWORKTRACE

2. ネットワーク通信を行います。
今回の例では、ブラウザを起動しました。
ブラウザを起動

3. 以下のコマンドを実行し、トレースを終了します。
-d に指定したパス(= c:\output\network.etl) に、ログファイルが出力されます。
xperf –stop –d c:\output\network.etl
xperf –stop –d c:\output\network.etl

4. 以下のコマンドを実行し、3で作成されたログファイルを、テキストへと変換します。
xperf –i c:\output\network.etl –o c:\output\network.txt –a dumper

引数の意味は以下です。
引数 意味
-i <etl ファイル> テキストに変換するetl ファイルを指定します。
-o <txt ファイル> 出力ファイルを指定します。
-a dumper etl からtxt ファイルを作成するという意味です。
xperf –i c:\output\network.etl –o c:\output\network.txt –a dumper


5. 以下のコマンドを実行し、4で作成されたログファイルから、TCP のSend の情報のみを抽出します。
findstr –I “TcpSend” c:\output\network.txt > c:\output\tcpsend.txt
findstr –I “TcpSend” c:\output\network.txt > c:\output\tcpsend.txt

[補足]
TCP のReceive の情報のみを抽出するには、”TcpSend” の代わりに”TcpRecv” とします。

6. 作成されたtcpsend.txt を開きます。
すると、iexplorer.exe が、173.194.126.191 に送信をしていたことがわかります。
iexplorer.exe が通信していたことがわかる


情報元
TWC: CSI: Windows - Techniques for Finding the Cause of the Unexpected System Takeovers (英語)
関連記事
xperf:パフォーマンスのトラブル時の調査に役立つフリーのツール


  1. 2014/07/02(水) 23:09:21|
  2. ネットワーク
  3. | トラックバック:0
  4. | コメント:0
<<ポリシー制限時にも、タスクマネージャー・コマンドプロンプトを起動する方法 | ホーム | Prefetch ファイルを利用し、起動したアプリの情報を収集 : WinPrefetchView>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://troushoo.blog.fc2.com/tb.php/180-3e38c038
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (92)
ネットワーク (76)
Visual Studio (56)
SOS・Psscor2/Psscor4 (25)
WinDbg (25)
Linux (23)
Azure (17)
Tips (20)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する