Sysinternals :如何记录不成功的TCP/IP连接尝试

Question

我想使用Sysmon记录不成功的TCP/IP连接尝试。

例如，使用以下配置：

<NetworkConnect onmatch="include">
 <DestinationPort condition="is">22</DestinationPort>
</NetworkConnect>

我确实看到了成功的连接，例如

ssh user@existing.server.com

记录为

Network connection detected (rule: NetworkConnect)

但是，如果握手不成功，例如由于尝试被删除或重置，则不会记录该尝试。

是否可以使用Sysmon记录TCP/IP连接尝试？如果没有，那么实现这一目标的好办法是什么？

Answer 1

您可以尝试procmon (也来自server)，它记录服务器进程的所有活动。或者你可以从微软安装网络监视器，这样你就可以看到与进程相关的网络流量。