IP、流量对账工具NetworkTrafficView

带宽只有1Mbps，平时没啥用，搞个小论坛，记录些学习笔记，没几个人访问，可有时候带宽就满了，不知道啥请求导致的流量满。怎么记录一段时间的流量数据？

运行这个软件查看流量情况 https://www.nirsoft.net/utils/network_traffic_view.html

软件小、检测项全，可以按各子项排序，比如我按Status、Total Data Size排序如上图

具体端口、IP、数据量、速度看得清清楚楚，不监控了就点左上侧那个停止按钮

可以设置自动每隔xx秒将网络流量信息导出到文件（csv / tab-定界/ html / xml）的选项（在“高级选项”窗口中），对账流量比较方便

软件菜单项Options→Advanced Options

如上图，导出的文件设置绝对路径，30秒一个文件，如图勾选，最后会有很多小文件，把这些csv文件放到一个文件夹，执行命令合并成一个csv

copy C:\Users\HASEE\Downloads\networktrafficview-x64\*.csv C:\all.csv

合并成一个csv后，用Excel打开，打开后先删除重复行，然后可以按IP、协议、端口、时段进行过滤分析。

注：这个软件是依赖WinPcap或Network Monitor的驱动来获取流量的

但是部分安装了Tencent WinAgent的镜像安装winpcap报错了，因为Tencent WinAgent自带了winpcap，导致单独安装winpcap就安装不了了

【Tencent WinAgent服务】

C:\Program Files (x86)\WinAgent\

service name： winagent

display name：Tencent WinAgent

4.1.3这个版本：The last official WinPcap release was 4.1.3 （官网最后一个版本）

win7/win8.1/win10/2016/2019/2012R2/2008R2/ 都能用winpcap 4.1.3

https://www.winpcap.org/install/bin/WinPcap_4_1_3.exe

wireshark建议用2.6.20这个版本（winpcap版的最后一个wireshark版本，新版wireshark是npcap版的）

全版本wireshark官方下载地址：https://2.na.dl.wireshark.org/win64/all-versions/

打开去搜2.6.找最后一个版本即可，之前2.6.的最后一个版本是2.6.19，最近发现更新了，是2.6.20

我在4种windows safe镜像(2008R2/2012R2/2016/2019)上验证了，这个办法可以解决洋葱对winpcap安装造成的干扰

管理员身份cmd命令行运行这3句命令后再安装winpcap就可以安装上，然后network_traffic_view就可以用winpcap获取流量了

sc stop winagent

cd c:\windows\system32\drivers\

ren npf.sys npf.sys.bak

然后以管理员身份运行winpcap安装文件即可安装成功，安装好winpcap后，就可以使用NetworkTrafficView了

多长时间写一个子文件那个是可以设置的，太短的话，产生文件太频繁，极易触发安全软件WinDefend、云平台安全组件（YDService）扫描

安装WinPcap和微软自己的Network Monitor 3.x，Capture Options默认就在Raw上，但括号里备注的win2000/xp，虽然备注了，但确实也能产生数据，就不清楚性能、兼容性、准确性等问题了，最好是能安装nm3.4（微软保持nm3.4好几年没更新了），驱动模式选到nm 3.x上。

经测试：规避安全软件的扫描，并从每30秒产生一个文件改为每60秒产生一个文件，且驱动模式从Raw指定到NM3.x，如此，NetworkTrafficView主进程的初始CPU利用率可以控制到2核机器的10~20%左右（这样设置，长期看只是让算力消耗增加的趋势变得平缓一些），但那些记录在这个软件UI上的连接，一直都在，且在变化，并且一直在计算新增数据落盘，随着时间推移，消耗的算力会有明显增加（数小时、数天后，占2核机器CPU的50%左右，占4核机器CPU25%左右）。

承接上图，数小时、数天后，占2核机器CPU的50%左右

后来我又用4核机器卸载了WinDefend和YDService测试NetworkTrafficView，数天后，占4核机器CPU的25%左右。