pktmon filter add
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows 10, Azure Stack HCI, Azure Stack Hub, Azure
A adição de filtro Pktmon permite adicionar um filtro para controlar quais pacotes são informados. Para que um pacote seja relatado, ele deve atender a todas as condições especificadas de pelo menos um filtro. Até 32 filtros podem estar ativos ao mesmo tempo.
Syntax
pktmon filter add <name> [-m <mac> [mac2]] [-v <vlan>] [-d { IPv4 | IPv6 | number }]
[-t { TCP [flags...] | UDP | ICMP | ICMPv6 | number }]
[-i <ip> [ip2]] [-p <port> [port2]] [-b] [-e [port]]
Você pode fornecer um nome opcional ou uma descrição do filtro.
Observação
Quando dois MACs (-m), IPs (-i) ou portas (-p) são especificados, o filtro corresponde aos pacotes que contêm ambos. Ele não distinguirá a origem ou o destino para essa finalidade.
Parâmetros
Você pode fornecer parâmetros para quadro Ethernet, cabeçalho IP, cabeçalho TCP/UDP, pulsação de cluster e encapsulamento.
| Parâmetro | Descrição |
|---|---|
| -m, --mac[-address] | Correspondência de endereço MAC de origem ou destino. Veja a observação acima. |
| -v, --vlan | Correspondência por VID (ID de VLAN) no cabeçalho 802.1Q. |
| -d, --data-link[-protocol], --ethertype | Correspondência por protocolo de link de dados (camada 2). Pode ser IPv4, IPv6, ARP ou um número de protocolo. |
| -t, --transport[-protocol], --ip-protocol | Correspondência por protocolo de transporte (camada 4). Pode ser TCP, UDP, ICMP, ICMPv6 ou um número de protocolo. Para filtrar mais detalhes de pacotes TCP, pode-se obter uma lista opcional de sinalizadores TCP a serem correspondidos. Os sinalizadores suportados são FIN, SYN, RST, PSH, ACK, URG, ECE e CWR. |
| -i, --ip[-address] | Correspondência de endereço IP de origem ou destino. Veja a observação acima. Para corresponder por sub-rede, use a notação CIDR com o comprimento do prefixo. |
| -p, --port | Correspondência de número da porta de origem ou destino. Veja a observação acima. |
| -b, --heartbeat | Correspondência de mensagens de pulsação RCP pela porta UDP 3343. |
| -e, --encap | Aplique os parâmetros de filtragem acima aos cabeçalhos de encapsulamento interno e externo. Os métodos de encapsulamento suportados são VXLAN, GRE, NVGRE e IP em IP. A porta VXLAN personalizada é opcional e o padrão é 4789. |
Exemplos
O conjunto de filtros a seguir capturará qualquer tráfego ICMP recebido ou enviado pelo endereço IP 10.0.0.10 junto com todo o tráfego na porta 53.
C:\Test> pktmon filter add -i 10.0.0.10 -t icmp
C:\Test> pktmon filter add -p 53
O filtro abaixo capturará todos os pacotes SYN enviados ou recebidos pelo endereço IP 10.0.0.10:
C:\Test> pktmon filter add -i 10.0.0.10 -t tcp syn
O filtro abaixo chamado MyPing executa ping 10.10.10.10 usando o protocolo ICMP:
C:\Test> pktmon filter add MyPing -i 10.10.10.10 -t ICMP
O filtro abaixo chamado MySmbSyb captura o tráfego SMB sincronizado por TCP:
C:\Test> pktmon filter add MySmbSyn -i 10.10.10.10 -t TCP SYN -p 445
O filtro abaixo chamado MySubnet captura o tráfego na máscara de sub-rede 255.255.255.0 ou /24 em notação CIDR:
C:\Test> pktmon filter add MySubnet -i 10.10.10.0/24