Билайн

Мониторинг компьютеров в локальной сети. Как отслеживать сетевую активность с помощью журналов Брандмауэра Windows

04.09.2019

Данная статья будет, в какой-то мере, посвящена безопасности. У меня недавно возникла мысль, а как проверить, какие приложение используют интернет соединение, куда может утекать трафик, через какие адреса идет соединение и многое другое. Есть пользователи, которые также задаются этим вопросом.

Допустим у вас есть точка доступа, к которой подключены только вы, но вы замечаете, что скорость соединения какая-то низкая, звоните провайдеру, они отмечают, что все нормально или что-то подобное. А вдруг к вашей сети кто-то подключен? Можно попробовать с помощью методов из этой статьи узнать, какие программы, которые требуют Интернет-соединения он использует. А вообще, вы можете использовать эти методы, как душе угодно.

Ну что, давайте анализировать?

Команда netstat для анализа сетевой активности

Этот способ без использования всяких программ, нам лишь понадобится командная строка. В Windows есть специальная утилита netstat, которая занимается анализом сетей, давайте использовать ее.

Желательно, чтобы командная строка была запущена от имени администратора. В Windows 10 можно нажать на меню Пуск правой кнопкой мыши и выбрать соответствующий пункт.

В командной строке вводим команду netstat и видим много интересной информации:


Мы видим соединения, в том числе, их порты, адреса, соединения активные и ожидающиеся. Это конечно круто, но нам этого мало. Нам бы узнать, какая программа использует сеть, для этого вместе с командной netstat можно использовать параметр –b, тогда команда будет выглядеть так:

netstat –b

Теперь в квадратных скобочках будет видна утилита, которая пользуется интернетом.


Это не единственный параметр в этой команде, для отображения полного списка введите команду netstat –h .


Но, как показывает практика, многие утилиты командной строки не дают той информации, которой хотелось бы видеть, да и не так это удобно. В качестве альтернативы мы будем использовать стороннее программное обеспечение – TCPView.

Мониторинг сетевой активности с помощью TCPView

Скачать программу можно отсюда . Ее даже не нужно устанавливать вы просто ее распаковываете и запускаете утилиту. Также она бесплатная, но не поддерживает русский язык, но этого особо и не нужно, из этой статьи вы поймете, как ей пользоваться.

Итак, утилита TCPView занимается мониторингом сетей и показывает в виде списка все подключенные к сети программы, порты, адреса и соединения.


В принципе тут все предельно ясно, но некоторые пункты программы я поясню:

  • Столбец Process , ясное дело, показывает название программы или процесса.
  • Столбец PID указывает на идентификатор подключенного к сети процесса.
  • Столбец Protocol указывает на протокол процесса.
  • Столбец Local adress локальный адрес процесса данного компьютера.
  • Столбец Local port – локальный порт.
  • Столбец Remote adress указывает на адрес, к которому подключена программа.
  • Столбец State – указывает на состояние соединения.
  • Там, где указано Sent Packets и Rcvd Packets указывает на отправленное и полученное количество пакетов, тоже самое и со столбцами Bytes .

Еще с помощью программы можно нажать на процесс правой кнопкой мыши и завершить его, либо посмотреть, где он находится.

Названия адреса, как показано на изображении ниже можно преобразовать в локальный адрес, для этого нужно нажать горячие клавиши Ctrl+R .



С другими параметрами тоже произойдет изменение – с протоколами и доменами.

Если вы увидите строки разного цвета, например, зеленого, то это означает запуск нового соединения, если покажется красный цвет, то соединение завершено.

Вот и все основные настройки программы, там еще есть мелки параметры, типа настройки шрифта и сохранения списка соединения.

Если вам понравилась эта программа, то обязательно используйте ее. Опытные пользователи точно найдут для каких целей применить ее.

Привет всем! На работе решили поднять маршрутизатор, но перед тем как пересадить народ на него, решили протестировать его надежность и вот сегодня я искал лучшие программы для тестирования сети

Вообщем тест я начал производить с помощью пингов. Понятно что их делать можно с помощью и задав параметр -t, но в ней нет графиков и логи не совсем удобно вести. По этому сейчас я покажу, что я выбрал из бесплатных нормальных программ.

Colasoft Ping Tool

Эту программу я нашел не самую первую, но она понравилась больше всего. Я задал красивый и понятный график и в настройках указал размер пакетов. Получилось вот что:

1. Выбираем необходимые параметры во вкладке Options 2. Вводим адрес, который будем пинговать и нажимаем старт пинг 3. Далее если нужно настраиваем график 4. В колонке слева смотрим сколько пакетов передано, сколько отправлено 5. Выделяем все пинги и сохраняем если нужно.

Эта программа тоже довольна интересна, умеет строить график, пинговать и трасировать маршрут! Но из-за графика она не так мне понравилась.

Тут почти все так же, вводим адрес, который будем пинговать и нажимаем пинг. Но тут можно делать ещё и трассировку. Вообщем программа тоже довольно неплохая.

Это программа больше подойдет для кратковременного пингования и программа с меньшими возможностями.

Тут вводим адрес, сколько по времени будет пинговаться и размер пакетов, нажимаем старт и наблюдаем за графиком.

Эту программу я нашел чисто случайно, она предназначена для проверки лучшего сервера на танках, но я чуть переделал под свои нужды и программа стала проверять надежность сети 🙂

Тут просто нажимаем старт. Она пингует яндекс и гугл, потом показывает их значения и говорит какой сервер лучше работает. В параметрах вы можете задать количество пакетов.

Вот так можно проверять надежность сети или вашего сетевого устройства. Конечно лучше отключить перед проверкой и файрвол. Для лучшего тестирования, следующим шагом необходимо подключить ещё компьютер к сети и попробовать хотя бы покапировать файлы по сети и запустить программу пингования. Я думаю с помощью этих бесплатных программ для тестирования сети , можно выявить лучшее сетевое оборудование или провайдера 🙂

Сотрудник–халтурщик – это беда для любого предприятия или компании. Поэтому постоянно возникает вопрос, как контролировать сотрудника за его рабочим компьютером и следить за тем, чтобы недозволенных действий не было.

Сразу отметим, что сотрудника необходимо поставить в известность (письменно, с подписью) о том, что ведется скрытое наблюдение за компьютером в локальной сети. Возможно, только этот факт уже поможет избежать нарушений и поставить сотрудника на путь «работяги». Если нет, то вот решение для полного контроля над компьютерами в локальной сети.

Программа для контроля локальной сети

Итак, программное обеспечение называется «Mipko Employe Monitor» - версия именно для корпоративных сетей.

После установки и запуска, а запустить её можно с рабочего стола или нажав «ctrl+alt+shift+k», необходимо настроить пользовательский интерфейс - что конкретно требуется отслеживать и контролировать в локальной сети.

  1. 1. Слева сверху расположен раздел, где выбирается пользователь из вашей сети, чей лог отслеживается в данный момент: при раскрытии будет отображен список записанных действий (в зависимости от настроек).
  1. 2. Теперь непосредственно о функционале «Инструменты» - «Настройки». Для каждого пользователя параметры «слежки » можно настроить индивидуально.

Мониторинг позволяет отследить следующие действия:

  • - нажатие клавиш;
  • - снимки экрана;
  • - активность в социальных сетях;
  • - обмен сообщениями в «skype»;
  • - посещённые веб-сайты;
  • - сохранения буфера обмена;
  • - программная активность;
  • - снимки с веб-камеры;
  • - запись звонков;
  • - операции с файлами.

Достаточно обширный функционал. Главное, что обычно интересует работодателя при контроле пользователей в локальной сети - это снимки с экрана и посещённые веб-сайты.

Для того чтобы не столкнуться с претензиями на вмешательство в личную информацию (например, если вы установили просмотр за посещёнными веб-страницами и увидели личную переписку в социальных сетях), установите блокировку всех социальных сетей и чатов, а также запрет на установку сторонних ПО - только то, что требуется для работы.

Удаленное наблюдение за компьютером в локальной сети

Как правило, работодателя интересуют только два аспекта – это снимок экрана компьютера пользователя локальной сети и просмотр им веб-страниц (как было сказано выше, сотрудники ознакомлены с данной информацией).

  1. 3. В настройки снятия снимка экрана входят следующие составляющие:

  • - выбор временного интервала, указывается или в минутах или в секундах;
  • - делать снимок при открытии окна;
  • - делать снимок по щелчку мышки;
  • - не делать снимок при не активности;
  • - режим снимка (полный экран, окно);
  • - и качество снимка.
  1. 4. В разделе «посещённые веб-сайты» всё ещё проще: выбрать «тип перехвата» и сохранять ли при этом снимок экрана.

  1. 5. Теперь о том, куда всё это будет сохраняться или отправляться. В настройках раздел «Отправка»:

  • - для начала установите «Тип лога» и всплывающего списка;
  • - установите в каком формате будет сохраняться отчёт «HTML» или архив «ZIP»;
  • - выберите тип сортировки и временной интервал отправки отчёта;
  • - самое основное – куда будет отправляться отчёт: на почту/ftp/папка на компьютере.
  • - далее вводите логин и пароль, нажимаете «Применить».

Всё, теперь сотрудники, как говорится, «Под колпаком» - вы можете следить за пользователями локальной сети.

Наиболее важными задачами для системных администраторов являются мониторинг работоспособности узлов связи, серверов и служб, необходимых для надежной работы всего предприятия, а также поддержание доверенного им компьютерного парка в надлежащем состоянии. В наше время качественный мониторинг компьютеров в локальной сети предприятия обеспечивают многофункциональные программы, многие из которых распространяются на правах открытого доступа.

Действенное приложение для наблюдения позволяет ИТ специалистам следить за состоянием сетевых хостов, в том числе и в наглядной форме - на графических схемах и диаграммах. Программа периодически сканирует сеть, изучая ее топологию, и самостоятельно создает схему подключений устройств.

Мониторинг хостов и сетевых служб

Кроме визуального наблюдения за состоянием сетевых устройств, программное обеспечение дает возможность организации проверки хостов и служб (в том числе и локальных ресурсов или интернет-серверов) с помощью разнообразных сетевых протоколов и настройки и использования удобного способа оповещения системных администраторов о положительных или отрицательных результатах тестирования. Способы могут быть разными: появление сообщения на экране компьютера ИТ специалиста, специальный звук, отправка электронного письма или смс на телефон. Приложение для мониторинга компьютеров в локальной сети предприятия в ряде случаев может перезапустить какую-либо удаленную службу либо выполнить заранее написанный для него скрипт (тогда некоторые сбои будут устраняться в автоматическом режиме).

Если в программе реализована такая функция, то все подключенные к сети устройства будут наглядно отображаться на ее схеме. Уже по одному виду их иконок специалисту станет понятно, какие из них работают нормально, а какие функционируют неверно. Такая возможность облегчает диагностику групповых сбоев. Полученные результаты тестирования заносятся в единую базу данных; по мере накопления статистической информации можно будет строить графики, чтобы изучать изменение отклика устройств и отслеживать другие проверяемые параметры.

Современные программы мониторинга компьютеров в локальной сети позволяют создать своего рода пульт управления сетевой инфраструктурой предприятия, при помощи которого отвечающий за сеть сотрудник сможет как наблюдать за ее важными элементами и проверять параметры оборудования, так и вести эффективное управление удаленными хостами. С помощью контекстного меню хостов можно просматривать различные данные об удаленных узлах в сети: проверять информацию по SNMP с коммутаторов, получить доступ к реестрам удаленных компьютеров, просматривать запущенные процессы и журналы событий, производить перезапуск служб и выполнять другие действия.

Некоторые программы ведут не только мониторинг ресурсов компьютера, но и помогают проводить учет устройств и программных приложений на сетевых ПК. Благодаря им системный администратор имеет возможность получать практически любые сведения об аппаратном и программном обеспечении на компьютерах в корпоративной сети. Сбор данных проходит удаленно, это позволяет не мешать работать сотрудникам предприятия, и экономит рабочее время системных администраторов.

Программы наблюдения за ПК в локальной сети позволяют вести точный учет аппаратного обеспечения. ИТ специалисты смогут оперативно узнать о пропаже и неисправности какого-либо компонента либо о его замене. При обнаружении изменений они заносятся в журнал, и о них оповещается администратор сети. Если нужно отслеживать определенные параметры на рабочих станциях пользователей с конкретной частотой и получать оповещения при их изменении, возможно будет настроить сбор данных по расписанию. В этом случае мониторинг ресурсов компьютера будет вестись в автоматическом режиме.

Многие программы не только формируют отчеты по компонентам компьютеров, но и следят за их работоспособностью - контролируется функционирование жестких дисков и их температура. Когда какой-либо диск перегревается или приложение выдает прогноз о том, что он может выйти из строя, сисадмин увидит отчет, содержащий критические замечания по работе ПК с предупреждением.

Учет ПО и лицензий

При необходимости софт мониторинга ПО в локальных сетях предприятия позволяет отслеживать и изменения в установленных программах. В случае, когда права пользователей строго не ограничиваются, кто-либо из сотрудников предприятия может установить на своем компьютере нежелательное или нелицензионное приложение. При мониторинге, когда происходит инсталляция или удаление программного обеспечения, любое изменение фиксируется и заносится в журнал. Это означает, что системный администратор будет всегда знать, какие именно программы и куда были инсталлированы или откуда удалены.

Часто при мониторинге ресурсов компьютера происходит отслеживание серийных номеров и лицензий программ, подсчет количества установок ПО, контроль правильного использования серийных номеров. Все эти меры реально помогают избежать проблем при проверке корпоративного программного обеспечения на предмет лицензионной чистоты. С целью повышения уровня безопасности и отказоустойчивости компьютеров ряд специальных программ мониторинга имеют функции просмотра проведенных обновлений ПО и системы и составления отчета по работе антивирусного софта и актуальности его баз.

Данные, собираемые программой с сетевых компьютеров и отображаемые на экране ПК системного администратора, могут быть занесены в отчет. Далее их можно распечатать или экспортировать в определенную базу. Кроме автоматически собираемой информации, многие приложения для мониторинга ресурсов компьютера разрешают вводить вручную серийные номера оборудования, номера офисов их пользователей и их контактные данные.

Если в программе заложена функция формирования сводных таблиц, то это позволит ИТ специалисту узнать, какое устройство устарело и его пора заменить. Наличие специальных фильтров позволит задать нужные условия включения ПК в таблицу. Например, составить список рабочих станций с процессорами конкретной марки либо определенными программными приложениями, объемом памяти, с небольшим объемом свободного места на диске и по другим параметрам.

Выбор программы

Определяясь с выбором конкретного ПО, следует учитывать не только его функциональность, но и сложность процедуры настройки. Часто установка бесплатных систем сопровождается огромными трудностями, в результате чего настройка может длиться месяцами и даже никогда не кончаться. Поэтому при выборе необходимо тщательно взвесить все плюсы и минусы того или иного решения: часто не слишком дорогие и не очень известные разработки могут принести больше пользы благодаря простоте настройки, а значит, и экономии рабочего времени системного администратора, которое ему, особенно на большом предприятии, всегда найдется, куда потратить.

То скорее всего знаете о на наличии в ней встроенного брандмауэра. Возможно вы также умеете разрешать и блокировать доступ отдельных программ в сеть, чтобы контролировать входящий и исходящий трафик. Но знаете ли вы, что фаервол Windows может быть использован для регистрации всех проходящих через него соединений?

Журналы Брандмауэра Windows могут быть полезны при решении отдельных проблем:

  • Используемая программа не может подключиться к Интернету, несмотря на то, что с другими приложениями эта проблема не наблюдается. В данном случае для устранения неисправности следует проверить, не блокирует ли системный фаервол запросы данной программы на подключение.
  • Вы подозреваете, что компьютер используется для передачи данных вредоносной программой и хотите провести мониторинг исходящего трафика на предмет подозрительных запросов подключения.
  • Вы создали новые правила разрешения и блокировки доступа и хотите убедиться, что фаервол корректно обрабатывает заданные инструкции.

Независимо от причин использования, включение протоколирования событий может быть сложной задачей, так как требует многих манипуляций с настройками. Приведем четкий алгоритм действий, как активировать регистрацию сетевой активности в фаерволе Windows.

Доступ к настройкам фаервола

Во-первых, нужно перейти к расширенным настройкам брандмауэра Windows. Откройте панель управления (клик правой кнопкой мыши по меню Пуск, опция “Панель управления”), затем нажмите ссылку “Брандмауэр Windows”, если стоит режим просмотра мелкие/крупные значки, либо выберите раздел “Система и безопасность”, а затем “Брандмауэр Windows”, если стоит режим просмотра категория.

В окне фаервола выберите опцию в левом навигационном меню “Дополнительные параметры”.

Вы увидите следующий экран настроек:

Это внутренняя техническая сторона брандмауэра Windows. Данный интерфейс позволяет разрешать или блокировать доступ программ в Интернет, настраивать входящие и исходящий трафик. Кроме того, именно здесь можно активировать функцию регистрации событий - хотя не сразу понятно, где это можно сделать.

Доступ к настройкам журнала

Во-первых, выберите опцию “Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)”.

Кликните правой кнопкой мыши по ней и выберите опцию “Свойства”.

Откроется окно, которое может запутать пользователя. При выборе трех вкладок (Профиль домена, Частный профиль, Общий профиль) можно заметить, что их содержимое идентично, но относится к трем различным профилям, название которых указано в заголовке вкладки. На вкладке каждого профиля содержится кнопка настройки ведения журнала. Каждый журнал будет соответствовать отдельному профилю, но какой профиль используете вы?

Рассмотрим, что означает каждый профиль:

  • Профиль домена используется для подключения к беспроводной сети Wi-Fi, когда домен задается контроллером домена. Если вы не уверены, что это значит, лучше не используйте данный профиль.
  • Частный профиль используется для подключения к частным сетям, включая домашние или персональные сети - именно данный профиль вы скорее всего будете использовать.
  • Общий профиль используется для подключения к общественным сетям, включая сети ресторанов, аэропортов, библиотек и других учреждений.

Если вы используете компьютер в домашней сети, перейдите на вкладку “Частный профиль”. Если используется публичная сеть, перейдите на вкладку “Общий профиль”. Нажмите кнопку “Настроить” в секции “Ведение журнала” на корректной вкладке.

Активация журнала событий

В открывшемся окне вы можете настроить расположение и максимальный размер журнала. Можно задать легко запоминающееся место для лога, но на самом деле локация файла журнала не имеет особо значения. Если вы хотите запустить регистрацию событий, в обоих выпадающих меню “Записывать пропущенные пакеты” и “Записывать успешные подключения” установите значение “Да” и нажмите кнопку “ОК”. Постоянная работа функции может привести к проблемам производительности, поэтому активируйте ее только когда действительно нужно выполнить мониторинг подключений. Для отключения функции логирования установите значение “Нет (по умолчанию)” в обоих выпадающих меню.

Изучение журналов

Теперь компьютер будет фиксировать сетевую активность, контролируемую фаерволом. Для того, чтобы просмотреть логи, перейдите в окно “Дополнительные параметры”, выберите опцию “Наблюдение” в левом списке, а затем в секции “Параметры ведения журнала” кликните ссылку “Имя файла”.

Затем откроется журнал сетевой активности. Содержимое журнала может запутать неопытного пользователя. Рассмотрим основное содержимое записей журнала:

  1. Дата и время подключения.
  2. Что произошло с подключением. Статус “ALLOW” означает, что фаервол разрешил подключение, а статус “DROP” показывает, что подключение было заблокировано фаерволом. Если вы столкнулись с проблемами подключения к сети отдельной программы, то сможете точно определить, что причина проблемы связана с политикой брандмауэра.
  3. Тип подключения - TCP или UDP.
  4. По порядку: IP-адрес источника подключения (компьютера), IP-адрес получателя (например, веб-страницы) и используемый на компьютере сетевой порт. Данная запись позволяет выявлять порты, которые требуют открытия для работы ПО. Также следите за подозрительными подключениями - они могут быть совершены вредоносными программами.
  5. Был ли успешно отправлен или получен пакет данных.

Информация в журнале поможет выяснить причину проблем подключения. Журналы могут регистрировать и другую активность, например, целевой порт или номер подтверждения TCP. Если вам нужны подробности, ознакомьтесь со строкой “#Fields” в верхней части лога, чтобы идентифицировать значение каждого показателя.

Не забудьте отключить функцию ведения журнала после завершения работы.

Расширенная диагностика сети

С помощью использования журнала брандмауэра Windows, вы можете проанализировать типы данных, обрабатываемых на компьютере. Кроме того, можно установить причины проблем с сетью, связанные с работой фаервола или другими объектами, нарушающими соединения. Журнал активности позволяет ознакомиться с работой фаервола и получить четкое представление о происходящем в сети.

Нашли опечатку? Нажмите Ctrl + Enter