Bevezetés
A Port Reporter eszköz tehát nem más, mint egy apró alkalmazás, azaz inkább egy folyamatosan a háttérben működő szerviz, amit az eszköz telepítésekor a telepítőprogram létrehoz, a megfelelő rendszerleíró bejegyzésekkel együtt. A Windows Server 2003 és Windows XP rendszerű számítógépeken a szolgáltatás a következő adatok naplózására képes:
- A használatban lévő portok adatai
- A portot használó processzek adatai
- Információ arról, hogy az adott folyamat szolgáltatás-e
- Az adott folyamat által betöltött modulok adatai
- A folyamatot futtató felhasználói fiókok adatai
Ezzel ellentétben a Windows 2000 rendszerű számítógépeken a szerviz csak a használatban lévő portok adatait, valamint a használat időpontját naplózza. Letöltése viszont mindegyik operációs rendszerre ingyenes. Egy másik - szinten ingyenesen letölthető - alkalmazás a Port Reporter Parser eszköz pedig a naplóállományok egyszerű megtekintésére és kezelésére használható, de rengeteg más hasznos funkciója is van (a sorozat második részében lesz szó ezekről).
A Port Reporter szolgáltatás telepítése
A Port Reporter telepítőprogramja (a letölthető csomag része: Pr-Setup.exe) az eszköz telepítése során az alábbi műveleteket hajtja végre:
- Hozzáadja a következő rendszerleíró alkulcsot a Windows rendszerleíró adatbázisához, mert csak e rendszerleíró kulcs megléte esetén tudja a számítógép eseménynaplójába írni a naplóbejegyzéseket.
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplicationPortReporter
- Telepíti a Port Reporter szolgáltatást, azaz a telepítő egy szerviz objektumot hoz létre a Port Reporter eszközhöz, majd hozzáadja az objektumot a szolgáltatásvezérlő kezelőjének (SCM) adatbázisához. A Port Reporter szerviz telepítése alapértelmezés szerint a merevlemez következő mappájába történik:
\%systemdrive%Program FilesPortReporter
- A Port Reporter szolgáltatás egy bejegyzést hoz létre az Event Viewer (Eseménynapló) Application ágában, ezzel jelezve, hogy a szolgáltatás működik. A szolgáltatás alapértelmezett indítási típusa manuális, így ha használni szeretnénk akkor a Service Manager-ben (Administrative ToolsServices), el kell indítanunk. Ha azt szeretnénk, hogy a szolgáltatás a Windows rendszer indításakor automatikusan elinduljon, állítsuk az indítási típust "Automatikus" értékre.
A Port Reporter alapértelmezés szerint a helyi rendszerfiókkal (LocalSystem) jelentkezik be a számítógépre, és e fiók használatával adatokat gyűjthet azokról a folyamatokról, amelyekhez a rendszergazdai fióknak vagy az egyéb felhasználói fiókoknak nincsen hozzáférése (lásd: egy korábbi cikk a LocalSystem fiókról).
A naplófájlok mérete
A Port Reporter az alapértelmezés szerint addig ír az adott naplófájlba, míg az el nem éri az 5 MB méretet, majd ezt követően új naplófájlt hoz létre. A naplófájlok méretének beállítására az "-ls" kapcsoló szolgál, a fájlméret pedig 1000 és 102 400 kilobájt (KB) között lehet. A következő indítási paraméter megadásával a Port Reporter szolgáltatás például új naplófájlt hoz létre, mihelyst az előző fájl mérete eléri a 7000 kilobájtot:
-ls 7000
A Port Reporter szolgáltatás eltávolítása
A szolgáltatás eltávolításához írjuk be a következő parancsot a parancssorba, majd nyomja meg az ENTER billentyűt:
pr-setup.exe -u
A szolgáltatás eltávolításakor a telepítőprogram az alábbi műveleteket hajtja végre.
- Eltávolítja a Port Reporter szerviz bejegyzéseit az SCM-ből,
- Törli a szolgáltatás telepítésekor létrehozott rendszerleíró bejegyzéseket,
- Viszont a telepítő nem távolítja sem a Pr-setup.exe és a PortReporter.exe fájlt tartalmazó mappát, sem a szolgáltatás által létrehozott naplófájlokat, így ezeket eltakarítani nekünk kell (ha szükséges).