微软官方-网络数据收集NetMon

Microsoft Network Monitor 3.4
本文介绍如何使用 Microsoft 网络监视器 3.4，这是一种用于捕获网络流量的工具。（已停止开发）
==可针对某一个程序 查看其外连的服务器地址和数据==

若要开始， 请[下载网络监视器工具](https://www.microsoft.com/download/details.aspx?id=4865 "下载网络监视器工具")。 安装网络监视器时，它会安装其驱动程序并将其挂钩到设备上安装的所有网络适配器。当驱动程序在安装过程中挂接到网络接口卡 (NIC) 时，NIC 会重新初始化，这可能会导致短暂的网络故障。

32位、64位不通用
[【附件】NetMon微软网络监视器NM34_x64.exe](/media/attachment/2022/10/NetMon微软网络监视器NM34_x64.exe)
[【附件】NetMon微软网络监视器NM34_x86.exe](/media/attachment/2022/10/NetMon微软网络监视器NM34_x86.exe)

捕获流量
1.通过选择 “以管理员身份运行”，以提升的状态运行 netmon。
![](/media/202210/2022-10-26_105110.png)
2.将打开网络监视器，并显示所有网络适配器。 选择要在其中捕获流量的网络适配器，单击 “新建捕获”，然后选择 "开始"菜单。

![](/media/202210/2022-10-26_105119.png)

3.重现问题，你将看到网络监视器在网络上抓取数据包。
选择 “停止”，然后转到 “文件>保存 以保存结果。 默认情况下，该文件将保存为“.cap”文件。

也可如图单击某一个程序，右键复制出这个程序外连的ip。
![](/media/202210/win官方网络监视器_1666753233.PNG)

保存的文件捕获了流向本地计算机上所选网络适配器的所有流量。 但是，你的兴趣只是调查与你面临的特定连接问题相关的流量/数据包。 因此，需要筛选网络捕获以仅查看相关流量。

常用筛选器

```
Ipv4.address==“client ip”和 ipv4.address==“server ip”
Tcp.port==
Udp.port==
Icmp
Arp
Property.tcpretranmits
Property.tcprequestfastretransmits
Tcp.flags.syn==1
```
 提示

如果要筛选特定字段的捕获，但不知道该筛选器的语法，只需右键单击该字段，然后选择 “将 所选值 添加到显示筛选器”。

参考： https://learn.microsoft.com/zh-cn/windows/client-management/troubleshoot-tcpip-netmon?source=recommendations