Netstat automatisiert auswerten?

Hallo,
ich stehe vielleicht ein bisschen auf dem Schlauch ...

ich benötige eine Liste der Prozesse eines Servers, die an Ports gebunden sind. Ziel ist eine Erfassung der zu berücksichtigen Firewallregeln und das entdecken unnützer offener Ports.

das habe ich jetzt an zwei Server wie folgt erledigt:

netstat -anob > c:\tmp\netstat.txt
die Liste habe ich dann manuell umformatiert, bis sie in eine Excel-Tabelle passte
dort habe ich eine Pivot-Tabelle erzeugt und habe eine nette Liste aller von netstat ausgegeben Prozesse.

Das ist etwas nervig. Außerdem werden nur die Prozesse erfasst, die gerade laufen. über einen längeren Zeitraum wird das ein wenig aufwändig.

Gibt es da ein Tool das so eine Liste schneller und effizienter erzeugt? TCPView kann ich zwar über einen längeren Zeitraum laufen lassen, die erzeugte Liste wird aber auch sehr lang.

Grüße

lcer

Please also mark the comments that contributed to the solution of the article

Content-Key: 351543

Url: https://administrator.de/contentid/351543

Printed on: April 19, 2024 at 04:04 o'clock

5 Comments

Latest comment

Gibt's schon im NET-Framework als Funktion und damit als Objekt handlebar:

Powershell

[System.Net.NetworkInformation.IPGlobalProperties]::GetIPGlobalProperties().GetActiveTcpListeners() 

Siehe auch Powershell Prozess überwachen und evtl. neu starten

GetActiveTcpListeners() gibt ja nur die Ports Klasse IPEndPoint zurück. Den Prozess dazu muss man dann für jeden einzeln suchen.
Da liefert netstat mit Parameter -b die Prozesse, die man dann gut aus der Datei rausfiltern kann.

Ich hatte gehofft es gibt so was wie GetActive_IP_Listener_Processes() -> Array mit Prozessen

lcer

Servus Icer,
kein Problem.

Für modernere OS (ab Windows Server 2012 R2 und Windows 8.1) geht dies mit Powershell mit den dafür vorgesehenen CMDLets so:

# TCP Connections auflisten
Get-NetTCPConnection | ft LocalAddress,LocalPort,RemoteAddress,RemotePort,State,OwningProcess,@{n='ProcessName';e={(Get-Process -id $_.OwningProcess).Name}}  
# UDP Endpoints auflisten
Get-NetUDPEndpoint  | ft LocalAddress,LocalPort,OwningProcess,@{n='ProcessName';e={(Get-Process -id $_.OwningProcess).Name}}  

oder für ältere OS mit Auswertung von Netstat:

function ConvertFrom-CP850([string[]]$string){
    $cp850 = [System.Text.Encoding]::GetEncoding(850)
    $string | %{$cp850.GetString([System.Console]::OutputEncoding.GetBytes($_))}
}

ConvertFrom-CP850 (netstat -ano) | ?{$_ -match '^\s*(TCP|UDP)'} | %{  
    $line = $_ -split '\s+'  
    [int]$pid = @{$true=$line[4];$false=$line[5]}[($line[4] -match '^\d')]  
    $procName = (Get-Process -id $pid).Name
    [pscustomobject] @{'Protocol' = $line[1];'Source' = $line[2];'Destination' = $line[3];'Status' = @{$true="";$false=$line[4]}[($line[4] -match '^\d')] ;'PID' = $pid; "Process" = $procName}  
} | ft

Alles inkl. Umwandlung der PID in Prozessname. Da die Daten Objekte sind lassen sie sich nach Bedarf filtern auswerten oder wegschreiben, wie man es will. Du hast die Wahl.

Viel Spaß
Grüße Uwe

Super, so etwas hatte ich gesucht. Mit:

Get-NetTCPConnection | Group-Object OwningProcess -noElement | ft Name,@{n='ProcessName';e={(Get-Process -id $_.Name).Name}}  

Hab ich dann meine Liste. ( ... und UDP natürlich entsprechend)

Danke

Na dann auf gelöst setzen.

German solved Question Windows Server Microsoft

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 Comment

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment