pktmon filter add
Gilt für: Windows Server 2022, Windows Server 2019, Windows 10, Azure Stack HCI, Azure Stack Hub, Azure
Mit „pktmon filter add“ können Sie einen Filter hinzufügen, um zu steuern, welche Pakete gemeldet werden. Damit ein Paket gemeldet werden kann, muss es allen Bedingungen entsprechen, die in mindestens einem Filter angegeben sind. Es können maximal 32 Filter gleichzeitig verwendet werden.
Syntax
pktmon filter add <name> [-m <mac> [mac2]] [-v <vlan>] [-d { IPv4 | IPv6 | number }]
[-t { TCP [flags...] | UDP | ICMP | ICMPv6 | number }]
[-i <ip> [ip2]] [-p <port> [port2]] [-b] [-e [port]]
Optional können Sie einen Namen oder eine Beschreibung für den Filter angeben.
Hinweis
Wenn zwei MACs (-m), IP-Adressen (-i) oder Ports (-p) angegeben werden, werden Pakete gemeldet, die mit beiden Filtern übereinstimmen. Hierbei wird nicht zwischen Quelle und Ziel unterschieden.
Parameter
Sie können Parameter für Ethernetframe, IP-Header, TCP/UDP-Header, Clustertakt und Kapselung angeben.
| Parameter | Beschreibung |
|---|---|
| -m, --mac[-address] | Übereinstimmung mit der MAC-Quell- oder -Zieladresse. Siehe Hinweis oben. |
| -v, --vlan | Übereinstimmung mit der VLAN-ID (VID) im 802.1Q-Header |
| -d, --data-link[-protocol], --ethertype | Übereinstimmung mit dem Datenübertragungsprotokoll (Layer 2). Dies kann IPv4, IPv6, ARP oder eine Protokollnummer sein. |
| -t, --transport[-protocol], --ip-protocol | Übereinstimmung mit dem Transportprotokoll (Layer 4). Dies kann TCP, UDP, ICMP, ICMPv6 oder eine Protokollnummer sein. Um TCP-Pakete weiter zu filtern, können Sie eine optionale Liste von TCP-Flags bereitstellen, mit denen eine Übereinstimmung vorliegen muss. Unterstützte Flags sind FIN, SYN, RST, PSH, ACK, URG, ECE und CWR. |
| -i, --ip[-address] | Übereinstimmung mit der IP-Quell- oder -Zieladresse. Siehe Hinweis oben. Um nach Übereinstimmungen mit dem Subnetz zu filtern, verwenden Sie die CIDR-Notation mit der Präfixlänge. |
| -p, --port | Übereinstimmung mit der Quell- oder Zielportnummer. Siehe Hinweis oben. |
| -b, --heartbeat | Übereinstimmung mit RCP-Taktmeldungen über UDP-Port 3343 |
| -e, --encap | Wenden Sie die oben stehenden Filterparameter auf innere und äußere Kapselungsheader an. Unterstützte Kapselungsmethoden sind VXLAN, GRE, NVGRE und IP-in-IP. Ein benutzerdefinierter VXLAN-Port ist optional und standardmäßig auf 4789 festgelegt. |
Beispiele
Die folgenden Filter erfassen den gesamten ICMP-Datenverkehr von oder zur IP-Adresse 10.0.0.10 sowie den gesamten Datenverkehr an Port 53:
C:\Test> pktmon filter add -i 10.0.0.10 -t icmp
C:\Test> pktmon filter add -p 53
Der folgende Filter erfasst alle SYN-Pakete, die von der IP-Adresse 10.0.0.10 gesendet oder empfangen werden:
C:\Test> pktmon filter add -i 10.0.0.10 -t tcp syn
Der folgende Filter namens MyPing pingt 10.10.10.10 mithilfe des ICMP-Protokolls:
C:\Test> pktmon filter add MyPing -i 10.10.10.10 -t ICMP
Der folgende Filter namens MySmbSyb erfasst TCP-synchronisierten SMB-Datenverkehr:
C:\Test> pktmon filter add MySmbSyn -i 10.10.10.10 -t TCP SYN -p 445
Der folgende Filter namens MySubnet erfasst Datenverkehr in der Subnetzmaske 255.255.255.0 oder /24 in CIDR-Notation:
C:\Test> pktmon filter add MySubnet -i 10.10.10.0/24