Cách theo dõi và phân tích tiến trình (process) đang hoạt động trên máy chủ Windows.

Là quản trị viên hệ thống chắc hẳn rằng việc theo dõi hoạt động của máy chủ không phải là công việc xa lạ gì đối với chúng ta.

Việc phân tích tiến trình (process) đang hoạt động (lắng nghe) trên Port nào của server không kém phần quan trọng trong việc duy trì tính ổn định của máy chủ. Và có thể cảnh báo chúng ta về tình trạng máy chủ bị chiếm dụng tài nguyên hệ thống ( do virus / trojan … ), bị tấn công …

Window Command Prompt với quyền quản trị Administrator
1)    netstat -abno

-a Hiển thị tất cả connections và listening ports.

-b Hiển thị thực thi tham gia trong việc tạo ra connections hay listening ports.

-n Hiển thị addresses và port numbers ở dạng số

-o Hiển thị process ID tương ứng với mỗi connections.

NOTE: tìm kiếm process với Task Manager

1)Ghi chú lại giá trị PID (process identifier) tương ứng với listening ports mà bạn cần theo dõi.

2)Mở Windows Task Manager.

3)Chọn tab Processes.

4)Tìm kiếm PID mà bạn ghi chú ở bước 1.

Nếu bạn không tìm thấy cột PID, click View >>> Select Columns >>> Select PID >>> nhớ check “Show processes from all users”.

Hoặc bạn có thể sử dụng lệnh ‘find’ cho phép bạn lọc các kết quả :

1    netstat -aon |find /i “listening” |find “port”

find /i “listening” sẽ chỉ hiển thị các listening ports.

find “port” sẽ giới hạn kết quả chỉ có chứa ports cụ thể.

Windows Sysinternals

Ngoài các command ở trên chỉ thực thi được bằng tài khoản Administrator, chúng ta còn được Sysinternals.com của Microsoft hỗ trợ khá nhiều công cụ khác như :

TCPView
Image

Process Monitor
Image

Portmon for Windows
Image

Process Explorer
Image