pktmon filter add
适用于:Windows Server 2022、Windows Server 2019、Windows 10、Azure Stack HCI、Azure Stack Hub、Azure
Pktmon filter add 允许添加筛选器来控制报告哪些数据包。 对于要报告的数据包,它必须与至少一个筛选器中指定的所有条件匹配。 最多可以同时激活 32 个筛选器。
语法
pktmon filter add <name> [-m <mac> [mac2]] [-v <vlan>] [-d { IPv4 | IPv6 | number }]
[-t { TCP [flags...] | UDP | ICMP | ICMPv6 | number }]
[-i <ip> [ip2]] [-p <port> [port2]] [-b] [-e [port]]
可以提供筛选器的可选名称或说明。
注意
如果指定了两个 MAC (-m)、IP (-i) 或端口 (-p),筛选器将匹配同时包含这两个对象的数据包。 为此,它不会区分源或目标。
参数
可以为以太网帧、IP 标头、TCP/UDP 标头、群集检测信号和封装提供参数。
| Parameter | 描述 |
|---|---|
| -m、--mac[-address] | 匹配源或目标 MAC 地址。 请参见上面的说明。 |
| -v、--vlan | 按 802.1Q 标头中的 VLAN ID (VID) 进行匹配。 |
| -d、--data-link[-protocol]、--ethertype | 按数据链接(第 2 层)协议进行匹配。 可以是 IPv4、IPv6、ARP 或协议编号。 |
| -t、--transport[-protocol]、--ip-protocol | 按传输(第 4 层)协议进行匹配。 可以是 TCP、UDP、ICMP、ICMPv6 或协议编号。 若要进一步筛选 TCP 数据包,可以选择提供一个列表,其中列出要匹配的 TCP 标志。 支持的标志为 FIN、SYN、RST、PSH、ACK、URG、ECE 和 CWR。 |
| -i、--ip[-address] | 匹配源或目标 IP 地址。 请参见上面的说明。 若要按子网匹配,请使用带前缀长度的 CIDR 表示法。 |
| -p、--port | 匹配源或目标端口号。 请参见上面的说明。 |
| -b、--heartbeat | 通过 UDP 端口 3343 匹配 RCP 检测信号消息。 |
| -e、--encap | 将上述筛选参数同时应用于内部和外部封装标头。 支持的封装方法为 VXLAN、GRE、NVGRE 和 IP-in-IP。 自定义 VXLAN 端口是可选的,默认为 4789。 |
示例
以下筛选器集将捕获以 IP 地址 10.0.0.10 为源或目标的任何 ICMP 流量,并捕获端口 53 上的任何流量。
C:\Test> pktmon filter add -i 10.0.0.10 -t icmp
C:\Test> pktmon filter add -p 53
以下筛选器将捕获 IP 地址 10.0.0.10 发送或接收的所有 SYN 数据包:
C:\Test> pktmon filter add -i 10.0.0.10 -t tcp syn
以下名为 MyPing 的筛选器使用 ICMP 协议对 10.10.10.10 执行 ping 操作:
C:\Test> pktmon filter add MyPing -i 10.10.10.10 -t ICMP
以下名为 MySmbSyb 的筛选器捕获 TCP 同步的 SMB 流量:
C:\Test> pktmon filter add MySmbSyn -i 10.10.10.10 -t TCP SYN -p 445
以下名为 MySubnet 的筛选器以 CIDR 表示法捕获子网掩码 255.255.255.0 或 /24 上的流量:
C:\Test> pktmon filter add MySubnet -i 10.10.10.0/24