A Port Reporter naplófájljainak értelmezése
A Port Reporter szolgáltatás a következő esetekben hoz létre naplófájlokat:
- A szolgáltatás minden egyes indításakor
- Minden nap éjfélkor
- Ha a naplófájl mérete eléri az öt megabájtot vagy az indítási paraméterben megadott egyéni méretkorlátot
A szolgáltatás indításakor a következő nevű naplófájlok jönnek létre:
- PR-INITIAL-*.log
- PR-PORTS-*.log
- PR-PIDS-*.log
Minden naplófájl nevében szerepel a fájl létrehozásának dátuma és időpontja (24 órás formátumban), év, hónap, nap, óra, perc és másodperc sorrendben.
A PR-INITIAL naplófájl tartalmazza azokat az adatokat, a melyeket a Port Reporter gyűjtött az indításakor a számítógépen futó folyamatokról, modulokról és a portokról, de ezek mellett megtalálhatók benne az egyes folyamatokat tároló felhasználói környezetek is.
A PR-PORTS naplófájl a számítógép TCP és UDP portja tevékenységének összesített adatait tárolja: az adatok vesszővel tagolt formátumban (CSV) állnak rendelkezésre (Windows 2000 alapú számítógépeken a kicsit más a formátum):
date,time,protocol,local port,local IP address,remote port,remote IP address,PID,module,user context
A PR-PIDS naplófájl részletes adatokat tárol a portokról, a folyamatokról, a kapcsolódó modulokról, valamint a folyamat futtatásához használt felhasználói fiókról.
A Port Reporter szolgáltatás figyeli a portok változásait, és azokat a naplófájlokba írja. A változások jelezhetik az adott porton létező kapcsolatok számának növekedését vagy csökkenését, de akár a létező kapcsolatok állapotának megváltozását is. A szolgáltatás rögzíti, ha új kapcsolat jön létre valamely TCP porton, illetve ha egy létező kapcsolat megszűnik, de arról is bejegyzést készít, ha a port TCP-kapcsolatainak állapota módosul. A TCP port állapotai a következőek lehetnek:
- CLOSE_WAIT
- CLOSED
- ESTABLISHED
- FIN_WAIT_1
- LAST_ACK
- LISTEN
- SYN_RECEIVED
- SYN_SEND
- TIMED_WAIT
Az állapot például akkor változik, ha egy ESTABLISHED állapotot használó kapcsolat a CLOSE_WAIT állapotot kezdi használni. A Port Reporter szolgáltatás bizonyos esetekben azt jelezheti, hogy a rendszer üresjárati folyamata (PID 0) használ néhány TCP portot. Ez abban az esetben lehet így, ha a számítógépre telepített egyik program kapcsolatot létesít valamely TCP porttal, majd nagyon gyorsan bontja is a kapcsolatot. A program és a port között létesített TCP-kapcsolat ilyenkor TIMED WAIT állapotban maradhat, noha a program már nem fut. Ennek következtében a Port Reporter szolgáltatás esetleg azt észleli, hogy a port még mindig használatban van, ám mivel az azt használó program már nem fut, nem tudja azonosítani a programot. Előfordulhat az is, hogy a TIME WAIT állapot több percig is tart, annak ellenére, hogy a portot használó folyamat már nem is fut.
A Port Reporter szolgáltatás olyankor is naplóbejegyzést készít, ha a számítógépre telepített valamely program új UDP portot vesz használatba. Ha a program például a 69-es UDP porttal létesít kapcsolatot, a szolgáltatás a PR-PORTS és a PR-PIDS naplófájlba írja a műveletet, az UDP portokra küldött UDP-datagramokat azonban nem naplózza. Csak azt rögzíti, hogy kapcsolatot létesítettek a porttal, illetve hogy az datagramokat fogad.
Van lehetőségünk arra is, hogy az Eseménynaplóban (Rendszer, Alkalmazás) tekintsük meg a Port Reporter szolgáltatás által naplózott eseményeket. A Port Reporter akkor rögzíti az eseményeket, amikor a szolgáltatás elindul, naplófájlokat hoz létre, leáll vagy hibát észlel. Az események forrása PortReporter jelzéssel szerepel az eseménynaplóban, az események azonosítói 100 és 112 közöttiek.
További kapcsolódó eszközök
A PortQry eszköz 2.0-s verziója a Port Reporter eszközhöz hasonló segédprogram, amellyel nyomon követheti egy adott porton vagy egy adott folyamat által használt összes porton folyó tevékenységet. (további információ erről az eszközről). Ezenkívül a grafikus felhasználói felülettel rendelkező PortQueryUI eszköz is letölthető. A PortQueryUI eszköz néhány szolgáltatása könnyebbé teszi a PortQry használatát.
A Port Reporter Parser eszköz, amely a Port Reporter naplófájljainak elemzéseire szolgál, szintén letölthető. A Port Reporter Parser eszköz speciális szolgáltatásai segíthetnek a Port Reporter naplófájljainak elemzésében.
Gál Tamás
gtamas@tjszki.hu