Come registro le connessioni TCP in uscita dal mio computer?

Sto cercando di rintracciare un problema in cui qualcosa sta causando il blocco del mio account di Active Directory. Penso che potrei capire se riesco a registrare tutte le connessioni a 2 server specifici.

Voglio registrare tutte le connessioni TCP in uscita (forse anche UDP) ai server X e Y insieme a quale processo ha avviato la connessione (PID, percorso EXE e comando completo utilizzati per avviare il processo). Come lo faccio?

Ho provato TCPView, ma questo mi mostra solo le connessioni TCP attuali. Voglio connessioni dagli ultimi 15 minuti, anche se sono già morte.

Consiglierei l'utilizzo di Process Monitor . È realizzato dalle stesse persone che hanno creato TCPView ma mostra molto di più. Consente inoltre di registrare le informazioni su disco in modo da poterle consultare in seguito.

Nota: il programma dovrà essere aperto e in esecuzione per poter registrare i registri, ma se lo si imposta per salvare i registri su disco man mano che li registra è sempre possibile rivederli in un secondo momento.

Wireshark è un buon punto di partenza. È uno strumento piuttosto versatile e ampiamente utilizzato. Un difetto, tuttavia, è che le informazioni sul processo non superano mai la scheda NIC, il che significa che potrebbe non essere adatta per la tua specifica richiesta. Dai un'occhiata qui per alcuni suggerimenti su cosa si può fare. Un altro strumento che potrebbe aiutare è netmon diretto da M $.