在 powershell 中展平 netstat 命令输出答案

【问题标题】：Flatten netstat command output in powershell在 powershell 中展平 netstat 命令输出
【发布时间】：2019-05-07 10:43:17
【问题描述】：

我正在尝试使用 netstat -bano 并在 PowerShell 中收集输出以满足一些非常具体的报告要求。

我有工作的正则表达式，应该能够解析这个输出没有问题，但是由于输出出现在多行上，正则表达式没有被正确处理

这是 netstat 的截图

期望的输出是这样的（全部在一行上）：

TCP 0.0.0.0:135 0.0.0.0:0 监听 1092 RpcSs [svchost.exe] TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 无法获取所有权信息 TCP 0.0.0.0:623 0.0.0.0:0 监听 7404 [LMS.exe] TCP 0.0.0.0:3389 0.0.0.0:0 监听 1224 TermService [svchost.exe]

无法使用 Windows 之外的工具，所以我只限于常用工具。

在 PID 上使用Get-Process 匹配也不起作用，因为它隐藏了 svchost 和 lsass 下的子进程信息。 netstat 和 -b 是完美的，因为它同时显示了 svchost.exe 和使用端口的进程

我已经在互联网上搜寻了一个可行的解决方案，但大多数都以不同的分辨率结束

编辑**这是我使用你们输入的最终脚本

$data = (netstat -bano |select -skip 4 | Out-String) -replace '(?m)^  (TCP|UDP)', '$1' -replace '\r?\n\s+([^\[])', "`t`$1" -replace '\r?\n\s+\[', "`t[" -split "`n"

[regex]$regex = '(?<protocol>TCP|UDP)\s+(?<address>\d+.\d+.\d+.\d+|\[::\]|\[::1\]):(?<port>\d+).+(?<state>LISTENING|\*:\*)\s+(?<pid>\d+)\s+(?<service>Can not obtain ownership information|\[\w+.exe\]|\w+\s+\[\w+.exe\])'

$output = @()

$data | foreach {
    $_ -match $regex

    $outputobj = @{
        protocol = [string]$matches.protocol
        address = [string]$matches.address -replace '\[::\]','[..]' -replace '\[::1\]','[..1]'
        port = [int]$matches.port
        state = [string]$matches.state -replace "\*:\*",'NA'
        pid = [int]$matches.pid
        service = ([string]$matches.service -replace 'Can not obtain ownership information','[System' -split '.*\[')[1] -replace '\]',''
        subservice = ([string]$matches.service  -replace 'Can not obtain ownership information','' -split '\[.*\]')[0]
    }
    $output += New-Object -TypeName PSobject -Property $outputobj
}
$output |select address,port,protocol,pid,state,service,subservice

【问题讨论】：

屏幕截图并不总是有帮助；能否将netstat 的输出重定向到一个文件，并将内容作为代码粘贴到问题中？
我有工作的正则表达式，应该能够解析这个输出没问题。它在哪里？您是否使用单行模式(?s) 之类的标志
从搜索“netstat powershell”gallery.technet.microsoft.com/scriptcenter/…
我建议使用 Kory 评论中的链接，但在这里...(netstat -bano) -join "`n" -split "(?= \w\wP\s+(?:\d+\.|\[::))"|%{$_ -replace "`n",' ' -replace '\s{2,}',','}|convertfrom-csv
@KoryGill 你是对的，它没有考虑任何实际的 IPv6 地址（除了 [::]）。确实如此，而且总体上效果更好：(netstat -bano | Select -skip 2) -join "`n" -split "(?= [TU][CD]P\s+(?:\d+\.|\[\w*:\w*:))"|%{$_.trim() -replace "`n",' ' -replace '\s{2,}',','}|convertfrom-csv

标签： powershell parsing windows-10 netstat

【解决方案1】：

在 TheMadTechnician 的基础上，我发现了一些破坏他输出的案例。具体来说：netstat 有时会跳过列；当友好的应用程序名称和可执行文件都在不同的行上输出时，它会破坏 CSV 格式。这是他/她的代码的更新版本，以将这些部分考虑在内：

$netstat = (netstat -abn | Select -skip 2) -replace "Address\s{2,}State", "Address,State,Application" -join "`n" `
    -split "(?= [TU][CD]P\s+(?:\d+\.|\[\w*:\w*:))" | % {
        $_.trim() -replace "`n",' ' `
        -replace '\*\:\*', '*:*,' `
        -replace '\s{2,}', ',' `
        -replace '(.*?),(.*?),(.*?),(.*?),(.*?),', '$1,$2,$3,$4,$5 '
    } | `
    ConvertFrom-Csv

【讨论】：

【解决方案2】：

我可能会这样做：

将输出拆分为单个字符串：
```
netstat -bano | Out-String
```
删除以 UDP 或 TCP 开头的行的缩进，使它们与其他行区分开来：
```
-replace '(?m)^  (TCP|UDP)', '$1'
```
将所有不以方括号开头的缩进行连接到它们之前的行：
```
-replace '\r?\n\s+([^\[])', "`t`$1"
```
将所有以方括号开头的缩进行连接到它们之前的行：
```
-replace '\r?\n\s+\[', "`t["
```

完整声明：

(netstat -bano | Out-String) -replace '(?m)^  (TCP|UDP)', '$1' -replace '\r?\n\s+([^\[])', "`t`$1" -replace '\r?\n\s+\[', "`t["

【讨论】：

谢谢！这个答案让我最接近。我唯一添加的是在换行符上拆分，以便我可以获取输出并创建一个对象

【解决方案3】：

您可以加入 netstat 的输出，使其成为一个大的多行字符串，然后将其拆分为以空格开头的行，后跟 TCP 或 UDP，然后是 IP 地址（以消除应用程序的误报） “TCP 跟踪器”或其他名称）。然后从行的开头或结尾修剪任何空格，用逗号替换任何有两个或多个空格的地方，并将结果推送到ConvertFrom-Csv 以创建对象。从中您可以过滤、分组或只是通过管道发送到 Format-Table 以查看结果。

$Netstat = (netstat -bano | Select -skip 2) -join "`n" -split "(?= [TU][CD]P\s+(?:\d+\.|\[\w*:\w*:))" | 
    ForEach-Object {$_.trim() -replace "`n",' ' -replace '\s{2,}',','} |
    ConvertFrom-Csv
# Filter the results for TCP connections and pipe the results to Format-Table
$Netstat | Where {$_.Proto -eq 'TCP'} | Format-Table

【讨论】：