Bleeping Computerは5月16日(米国時間)、「Windows 10 quietly got a built-in network sniffer, how to use」において、Windows 10 October 2018 Updateにおいて導入されたLANアナライザ「pktmon」の使い方を伝えた。pktmonはtcpdumpのようなLANアナライザ(パケットアナライザ、ネットワークアナライザ、ネットワークスニファ、スニファなどとも呼ばれる)で、パケットレベルでネットワークアクティビティを監視できる。

記事では、pktmonをLinuxで使われるtcpdumpに似たツールと説明しており、その使い方を簡単に紹介している。pktmonの主な使い方は次のとおり。

コマンド 内容
pktmon filter add -p ポート番号 監視するポートを追加
pktmon filter list パケットフィルタを一覧表示
pktmon start --etw -p 0 パケットの監視を開始
pktmon stop パケットの監視を終了
pktmon format PktMon.etl -o ファイル ログファイルを可読性のあるテキストファイルへ変換
pktmon filter remove すべてのフィルタを削除
  • pktmonコマンドの実行サンプル

    pktmonコマンドの実行サンプル

  • pktmonコマンドの実行サンプル

    pktmonコマンドの実行サンプル

pktmonコマンドはPktMon.etlというファイルにログデータを出力するが、このデータには可読性がない。pktmon formatで可読性のあるテキストファイルに変換することで、エディタなどを使って内容の確認が可能。

  • 可読性のあるテキストに変換したログデータ

    可読性のあるテキストに変換したログデータ

記事では、PktMon.etlファイルを直接読む方法として、Microsoft Network Monitorを使う方法にも言及している。

  • Microsoft Network Monitorを使ってPktMon.etlファイルを閲覧した場合のサンプル

    Microsoft Network Monitorを使ってPktMon.etlファイルを閲覧した場合のサンプル

tcpdumpコマンドには、モニタリングしているパケットをリアルタイムに表示する機能がある。同様の機能は近日中に公開が予定されているWindows 10の次のフィーチャーアップデート版「Windows 10 May 2020 Update」のpktmonコマンドで利用できるようになるという。

MicrosoftはWindows 10のLinux対応を強化するとともに、コマンドにLinuxでよく使われるコマンドと同じコマンド、または類似する機能を提供するコマンドの追加を時折行っている。pktmonはtcpdumpとよく似ており、次のフィーチャーアップデート版ではtcpdumpのフロントエンドとしても使われるWiresharkにも対応するとされており、Wiresharkを使った分析が可能になると見られる。