来源:https://blog.51cto.com/beanxyz/1746576

豆子今天想看看PowerShell是否有像Winsock之类的方式抓包,不过很遗憾,他有一个NetEvenPacketCapture的模块,但是他不像wireshark那样可以直接抓取TCP/IP包,他获取的是Windows的网络日志。优点是我可以直接用get-winEvent来分析内容了,缺点是我还是看不见直接的包的内容。

整个模块一共有23个命令,新手一般会比较迷糊到底怎么用。

豆子主要参考了微软的这个博客来进行的配置

https://blogs.technet.microsoft.com/heyscriptingguy/2015/10/12/packet-sniffing-with-powershell-getting-started/

简单的说,6个基本步骤:

  1. 创建Session

  2. 绑定Provider

  3. 开始Session

  4. 获取这个Session的日志

  5. 关掉这个Session

  6. 删除这个Session

1.创建一个新的session,他会告诉我日志保存的地址

 New-NetEventSession -Name "Session1"
  • 1.

2.绑定Provider,首先通过logman看看有哪些provider可以使用

logman query providers | select-string tcp
  • 1.

然后绑定这个Provider

 Add-NetEventProvider -Name “Microsoft-Windows-TCPIP” -SessionName “Session1"
  • 1.

3. 开始这个Session,没有什么结果出来,不过PS的设计和Linux一样,no news is good news, 没报错就是好结果

Start-NetEventSession -Name “Session1"
  • 1.

4. 开始抓取日志

Get-NetEventSession
  • 1.

5.等一会然后停止

Stop-NetEventSession -Name session1
  • 1.

6. 删除

Remove-NetEventSession
  • 1.

注意生成的日志格式是etl格式的,这个格式是没法用wireshark之类的抓包工具打开的,不过我们可以直接用事件查看器直接打开,如下图所示

如果需要用脚本处理,这个和处理普通的windows日志一样,直接用get-WinEvent就可以了

注意必须倒序排列才行。

Get-WinEvent -path C:\WINDOWS\system32\config\systemprofile\AppData\Local\NetEventTrace.etl -Oldest
  • 1.

比如我只需要查看ID为1300的日志

我想查看最后的记录

如果我想处理Message的内容,可以转换成XML格式,然后查看EventData的内容,比如

通过这种方式,我可以设置计划任务,在指定的时间内抓取网络日志,然后进行分析。

【转载】PowerShell 抓取网络日志相关推荐

  1. iOS开发——网络使用技术OC篇网络爬虫-使用正则表达式抓取网络数据

    网络爬虫-使用正则表达式抓取网络数据 关于网络数据抓取不仅仅在iOS开发中有,其他开发中也有,也叫网络爬虫,大致分为两种方式实现 1:正则表达 2:利用其他语言的工具包:java/Python 先来看 ...

  2. iOS—网络实用技术OC篇网络爬虫-使用java语言抓取网络数据

    网络爬虫-使用java语言抓取网络数据 前提:熟悉java语法(能看懂就行) 准备阶段:从网页中获取html代码 实战阶段:将对应的html代码使用java语言解析出来,最后保存到plist文件 上一 ...

  3. 用C++实现网络编程---抓取网络数据包的实现方法

    From: http://blog.csdn.net/zjl_1026_2001/article/details/2191311 做过网管或协议分析的人一般都熟悉sniffer这个工具,它可以捕捉流经 ...

  4. 抓取网络源码python_使用Python进行网络抓取的新手指南

    抓取网络源码python 有很多很棒的书可以帮助您学习Python,但是谁真正读了这些A到Z? (剧透:不是我). 接下来是我的第一个Python抓取项目指南. 假定的Python和HTML知识很少. ...

  5. android抓取日志,Android抓取所有日志

    总有些时候我们会遇到非必现场景,若未及时抓取日志,可能为时已晚 抓取日志 抓取Logcat日志 这个是最简单的,使用-f重定向到一个文本文件即可,-v threadtime则显示详细时间和进程 # f ...

  6. Wireshark抓取网络聊天

    Wireshark抓取网络聊天 一.实验要求 二.实验操作 三.数据发送抓包 1. 西文字符 2. 汉字字符 3. 混合发送 四.总结 五.参考 一.实验要求 1)分析此程序网络连接采用的是哪种协议( ...

  7. 抓取网络源码python_python中的复仇者网络抓取实体提取和网络图

    抓取网络源码python 2020 sent more bad news as Black Panther star Chadwick Boseman passed away aged 43. The ...

  8. PHP抓取网络数据的6种常见方法

    本小节的名称为 fsockopen,curl与file_get_contents,具体是探讨这三种方式进行网络数据输入输出的一些汇总.这里先简单罗列一下一些常见的抓取网络数据的一些方法. 1. 用 f ...

  9. 基于Java的网络爬虫实现抓取网络小说(一)

    基于Java的网络爬虫实现抓取网络小说(一) 今天开始写点东西,一方面加深印象一方面再学习. 网络爬虫(Web crawler),是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本,它们被广泛用 ...

最新文章

  1. 同时用引用和指针 int *a;
  2. 获取焦点时,利用js定时器设定时间执行动作
  3. 利用jQuery点击DIV变颜色的小例子
  4. Java 为图形填充渐变色
  5. qq浏览器网页翻译_在线英文翻译、文档翻译,这几款翻译工具你值得拥有
  6. 2017-3-17 SQL server 数据库 视图,事务,备份还原,分离附加
  7. 计算机无法安装应用,电脑没法安装软件?教您解决电脑没法安装软件
  8. Xmind思维导图教程
  9. 用QtCreator创建控制台应用程序
  10. dedecms教程:织梦建站教程之如何为内容模型添加新字段?
  11. 通过.frm和.idb文件恢复mysql数据库
  12. 2019年春季学期《C语言程序设计II》助教注意事项
  13. vue - vue项目使用BOS (百度云对象存储)上传文件
  14. 2015iMAC安装macOS/Win11双系统 外置硬盘安装macOS/Win11双系统(非PE非DP虚拟机非WTG)
  15. 跑马灯C语言实验报告,51单片机跑马灯实验报告 分析与小结,思考题源码下载
  16. 美团 SP 30K*15.5?如何看待老生常谈的薪资倒挂现象?
  17. 华为mate50pro和华为mate50RS的区别
  18. 卡塔尔世界杯除了没有中国队以外,都是中国元素!
  19. 中文拼写纠错_中英文拼写纠错开源框架梳理
  20. 经纬恒润天津研发总部项目开工奠基仪式圆满落幕

热门文章

  1. 猅猅排牌牌『排序专题』
  2. 应收票据、存货的核算
  3. SQL SERVER CONVERT函数说明
  4. 百度前端学院第一天——前端的一些知识
  5. 机器学习之算法部分(算法篇1)
  6. avx指令集 matlab,最新版Matlab 2020a修复处理器识别bug 将默认调用最新指令集
  7. setBackground(),setBackgroundResource(),setBackgroundColor(),setBackgroundDrawable()的区别和用法
  8. oracle bbde,实现treeset
  9. 激光清洗机_机械激光清洗机
  10. likely() 和 unlikely() 判断语句