WinRS

項目	接続元	接続先
通信プロトコル	-	5985/tcp
権限	Admin	Admin
ドメインへの所属	不要	不要
サービス	-	Windows remote Management (WS-Management)
OS	Windows	Windows
備考	-	-

環境	動作可否
Windows 7 + Windows Server 2012	動作する
Windows 10 + Windows Server 2012	動作する
Windows 11 + Windows Server 2025	動作する

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [実行ユーザーSID] 作成元サブジェクト > アカウント名: [実行ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] プロセス情報 > 新しいプロセス ID: [実行プロセスID] プロセス情報 > 新しいプロセス名: C:\Windows\System32\winrs.exe プロセス情報 > プロセスのコマンドライン: winrs -r:[接続先ホスト] [実行コマンド]
2	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\winrs.exe FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ] CommandLine: winrs -r:[接続先ホスト] [実行コマンド] User: [ドメイン名]\[ユーザー名]
3	Microsoft-Windows-Sysmon/Operational	7	Image loaded	Image loaded. UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] ImageLoaded: [読み取ったDLLファイルなど] FileVersion・Description・Product・Company・OriginalFileName: [DLLファイルなどのメタデータ] User: [ドメイン名]\[ユーザー名]
4	Microsoft-Windows-Sysmon/Operational	18	Pipe Connected	Pipe Connected UtcTime: [発生日時(UTC)] PipeName: \lsass Image: C:\WINDOWS\system32\winrs.exe User: [ドメイン名]\[ユーザー名]
5	Microsoft-Windows-Sysmon/Operational	18	Pipe Connected	Pipe Connected UtcTime: [発生日時(UTC)] PipeName: \wkssvc Image: C:\WINDOWS\system32\winrs.exe User: [ドメイン名]\[ユーザー名]
6	Microsoft-Windows-WinRM/Operational	2	WSMan API Initialize	WSMan API の初期化解除が正常に完了しました
7	Microsoft-Windows-WinRM/Operational	29	WSMan API Initialize	WSMan API の初期化が正常に完了しました
8	Microsoft-Windows-WinRM/Operational	6	WSMan Session Initialize	WSMan セッションを作成しています。接続文字列は [接続先ホスト] です
9	Microsoft-Windows-WinRM/Operational	31	WSMan Session initialize	WSMan セッションの作成操作が正常に完了しました
10	Microsoft-Windows-WinRM/Operational	11	WSMan API call	WSMan シェルをリソース URI http://schemas.microsoft.com/wbem/wsman/1/windows/shell/cmd および ShellId Unspecified で作成しています
11	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\winrs.exe TargetObject: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters User: [ドメイン名]\[ユーザー名]
12	Security	5158	Filtering Platform Connection	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\winrs.exe ネットワーク情報 > ソースポート: [送信元ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
13	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\winrs.exe ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [直前のイベント5158でバインドしたポート] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 5985 ネットワーク情報 > プロトコル: 6 (TCP)
14	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\winrs.exe User: [ドメイン名]\[ユーザー名] Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 5985
15	Microsoft-Windows-WinRM/Operational	13	WSMan API call	CommandId Unspecified の WSMan コマンドを実行しています
16	Microsoft-Windows-WinRM/Operational	15	WSMan API call	WSMan コマンドを閉じています
17	Microsoft-Windows-WinRM/Operational	16	WSMan API call	WSMan シェルを閉じています
18	Microsoft-Windows-WinRM/Operational	8	WSMan Session deinitialize	WSMan セッションを閉じています
19	Microsoft-Windows-WinRM/Operational	33	WSMan Session deinitialize	WSMan セッションを閉じる操作が正常に完了しました
20	Microsoft-Windows-WinRM/Operational	4	WSMan API Deinitialize	WSMan API を初期化解除しています
21	Microsoft-Windows-WinRM/Operational	30	WSMan API Deinitialize	WSMan API の初期化解除が正常に完了しました
22	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [実行ユーザーSID] サブジェクト > アカウント名: [実行ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] プロセス情報 > 終了状態: 0x0 プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\winrs.exe
23	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\winrs.exe User: [ドメイン名]\[ユーザー名]
24	Security	4656	File System	オブジェクトに対するハンドルが要求されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\WINRS.EXE-[ハッシュ値].pf オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
25	Security	4663	File System	オブジェクトへのアクセスが試行されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\WINRS.EXE-[ハッシュ値].pf オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
26	Security	4658	File System	オブジェクトに対するハンドルが閉じました。オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
27	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\WINRS.EXE-[文字列].pf CreationUtcTime: [ファイル作成日時(UTC)]

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	C:\Windows\Prefetch\WINRS.EXE-[ハッシュ値].pf	WINRS.EXE	C:\WINDOWS\SYSTEM#@\WINRSHOST.EXE

MFT

#	パス	ヘッダフラグ	備考
1	C:\Windows\Prefetch\WINRS.EXE-[ハッシュ値].pf	FILE	ALLOCATED

USNジャーナル

#	ファイル名	処理	備考
1	WINRS.EXE-[ハッシュ値].pf	DataExtend\|FileCreate\|Close

- 接続先

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: 4 アプリケーション情報 > アプリケーション名: System ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 5985 ネットワーク情報 > プロトコル: 6 (TCP)
2	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: System User: NT AUTHORITY\SYSTEM Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 5985
3	Security	4672	Special Logon	新しいログオンに特権が割り当てられました。サブジェクト > セキュリティ ID: [ログオンユーザーSID] サブジェクト > アカウント名: [ログオンユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] 特権: SeSecurityPrivilege-, SeBackupPrivilege-, SeRestorePrivilege-, SeTakeOwnershipPrivilege-, SeDebugPrivilege-, SeSystemEnvironmentPrivilege-, SeLoadDriverPrivilege-, SeImpersonatePrivilege-, SeDelegateSessionUserImpersonatePrivilege
4	Security	4624	Logon	アカウントが正常にログオンしました。新しいログオン > セキュリティ ID: [ログオンユーザーSID] 新しいログオン > アカウント名: [ログオンユーザー名] 新しいログオン > アカウント名: [ドメイン名] 新しいログオン > ログオン ID: [ログオンID] ログオン情報 > ログオンタイプ: 3 ネットワーク情報 > ソースワークステーション名: [接続元ホスト名] プロセス情報 > プロセス名: - ネットワーク情報 > ソースネットワークアドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号]
5	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ログオンユーザーSID] サブジェクト > アカウント名: [ログオンユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: WS-ManagementListener オブジェクト > オブジェクトの種類: Unknown オブジェクト > オブジェクト名: Unknown オブジェクト > ハンドル ID: [ハンドルID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
6	Microsoft-Windows-WinRM/Operational	91	Request handling	ResourceUri http://schemas.microsoft.com/wbem/wsman/1/windows/shell/cmd ([ドメイン名]\[ログオンユーザー名] clientIP: [接続元IPアドレス]) を使用してサーバーで WSMan シェルを作成しています
7	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ログオンユーザーSID] 作成元サブジェクト > アカウント名: [ログオンユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: C:\Windows\System32\winrshost.exe プロセス情報 > プロセスのコマンドライン: C:\WINDOWS\system32\WinrsHost.exe -Embedding
8	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\winrshost.exe CommandLine: C:\WINDOWS\system32\WinrsHost.exe -Embedding User: [ドメイン名]\[ログオンユーザー名] LogonId: [ログオンID]
9	Security	4674	Sensitive Privilege Use	特権のあるオブジェクトで操作が試行されました。サブジェクト > セキュリティ ID: [ログオンユーザーSID] サブジェクト > アカウント名: [ログオンユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: Mutant オブジェクト > オブジェクト名: \BaseNamedObjects\[文字列] 要求された操作 > 特権: DELETE, READ_CONTROL, WRITE_DAC, WRITE_OWNER, SYNCHRONIZE, ミュータント状態の照会プロセス情報 > プロセス名: C:\Windows\System32\winrshost.exe
10	Security	4674	Sensitive Privilege Use	特権のあるオブジェクトで操作が試行されました。サブジェクト > セキュリティ ID: [ログオンユーザーSID] サブジェクト > アカウント名: [ログオンユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: - オブジェクト > オブジェクト名: - 要求された操作 > 特権: SeTakeOwnershipPrivilege プロセス情報 > プロセス名: C:\Windows\System32\winrshost.exe
11	Security	4674	Sensitive Privilege Use	特権のあるオブジェクトで操作が試行されました。サブジェクト > セキュリティ ID: [ログオンユーザーSID] サブジェクト > アカウント名: [ログオンユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: Semaphore オブジェクト > オブジェクト名: \BaseNamedObjects\[文字列] 要求された操作 > 特権: DELETE, READ_CONTROL, WRITE_DAC, WRITE_OWNER, SYNCHRONIZE, セマフォ状態の照会, セマフォ状態の変更プロセス情報 > プロセス名: C:\Windows\System32\winrshost.exe
12	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: 4 アプリケーション情報 > アプリケーション名: System ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 5985 ネットワーク情報 > プロトコル: 6 (TCP)
13	Security	4672	Special Logon	新しいログオンに特権が割り当てられました。サブジェクト > セキュリティ ID: [ログオンユーザーSID] サブジェクト > アカウント名: [ログオンユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege
14	Security	4624	Logon	アカウントが正常にログオンしました。新しいログオン > セキュリティ ID: [ログオンユーザーSID] 新しいログオン > アカウント名: [ログオンユーザー名] 新しいログオン > アカウント名: [ドメイン名] 新しいログオン > ログオン ID: [ログオンID] ログオン情報 > ログオンタイプ: 3 ネットワーク情報 > ソースワークステーション名: [接続元ホスト名] プロセス情報 > プロセス名: [実行ファイルのパス] ネットワーク情報 > ソースネットワークアドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号]
15	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ログオンユーザーSID] サブジェクト > アカウント名: [ログオンユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: WS-ManagementListener オブジェクト > オブジェクトの種類: Unknown オブジェクト > オブジェクト名: Unknown オブジェクト > ハンドル ID: [ハンドルID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
16	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ログオンユーザーSID] 作成元サブジェクト > アカウント名: [ログオンユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > 作成元プロセス ID: [実行プロセスID] プロセス情報 > プロセスのコマンドライン: [実行ファイルのパス] [コマンドライン] プロセス情報 > 作成元プロセス名: C:\Windows\System32\winrshost.exe winrshost.exeより、指定された実行ファイルが呼び出される。実行ファイルのパスや、この後の動作はWinRSに指定されたコマンドラインにより異なる。
17	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ] CommandLine: [実行ファイルのパス] [コマンドライン] CurrentDirectory: [作業ディレクトリ] User: [ドメイン名]\[ログオンユーザー名] LogonId: [ログオンID] Hashes: [実行ファイルのハッシュ値] ParentProcessId: [親プロセスID] ParentImage: C:\Windows\System32\winrshost.exe ParentCommandLine: C:\WINDOWS\system32\WinrsHost.exe -Embedding ParentUser: [親プロセスの実行ユーザ] winrshost.exeより、指定された実行ファイルが呼び出される。実行ファイルのパスや、この後の動作はWinRSに指定されたコマンドラインにより異なる。
18	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [ログオンユーザーSID] サブジェクト > アカウント名: [ログオンユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 終了状態: [戻り値] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス] winrshost.exeより呼び出された実行ファイルの終了。
19	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] User: [ドメイン名]\[ログオンユーザー名] winrshost.exeより呼び出された実行ファイルの終了。
20	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [ログオンユーザーSID] サブジェクト > アカウント名: [ログオンユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 終了状態: 0x0 プロセス情報 > プロセス名: C:\Windows\System32\winrshost.exe
21	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時(UTC)] Image: C:\Windows\System32\winrshost.exe User: [ドメイン名]\[ログオンユーザー名]
22	Security	4656	File System	オブジェクトに対するハンドルが要求されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\WINRSHOST.EXE-[ハッシュ値].pf オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C::\Windows\System32\svchost.exe
23	Security	4663	File System	オブジェクトへのアクセスが試行されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\WINRSHOST.EXE-[ハッシュ値].pf オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C::\Windows\System32\svchost.exe
24	Security	4658	File System	オブジェクトに対するハンドルが閉じました。オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C::\Windows\System32\svchost.exe
25	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\WINRSHOST.EXE-[文字列].pf CreationUtcTime: [ファイル作成日時(UTC)]
26	Security	4634	Logoff	アカウントがログオフしました。サブジェクト > セキュリティ ID: [ログオンユーザーSID] サブジェクト > アカウント名: [ログオンユーザー名] サブジェクト > ログオン ID: [イベント4624で記録されたログオンID] ログオンタイプ: 3

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	C:\Windows\Prefetch\WINRSHOST.EXE-[ハッシュ値].pf	WINRSHOST.EXE	C:\WINDOWS\SYSTEM32\WINRSHOST.EXE

MFT

#	パス	ヘッダフラグ	備考
1	C:\Windows\Prefetch\WINRSHOST.EXE-[ハッシュ値].pf	FILE	ALLOCATED

USNジャーナル

#	ファイル名	処理	備考
1	WINRSHOST.EXE-[ハッシュ値].pf	DataExtend\|FileCreate\|Close

WinRS

- 目次

- ツール概要

- ツール動作概要

- 概要

- 動作確認環境

- ログから得られる情報

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

Prefetch

MFT

USNジャーナル

- 接続先

イベントログ

Prefetch

MFT

USNジャーナル

- 詳細情報

- 接続元

イベントログ

Prefetch

MFT

USNジャーナル

- 接続先

イベントログ

Prefetch

MFT

USNジャーナル

- パケット

#	オペレーション	接続元ホスト	接続元ポート番号	接続先ホスト	接続先ポート	プロトコル	アプリケーション
1	POST /wsman HTTP/1.1	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	5985	tcp	HTTP
2	HTTP/1.1 200	[接続先IPアドレス]	5985	[接続元IPアドレス]	[接続元ポート番号]	tcp	HTTP
3	POST /wsman HTTP/1.1 (application/http-kerberos-session-encrypted)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	5985	tcp	HTTP
4	HTTP/1.1 200 (application/http-kerberos-session-encrypted)	[接続先IPアドレス]	5985	[接続元IPアドレス]	[接続元ポート番号]	tcp	HTTP
5	POST /wsman HTTP/1.1 (application/http-kerberos-session-encrypted)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	5985	tcp	HTTP
6	HTTP/1.1 200 (application/http-kerberos-session-encrypted)	[接続先IPアドレス]	5985	[接続元IPアドレス]	[接続元ポート番号]	tcp	HTTP
7	POST /wsman HTTP/1.1 (application/http-kerberos-session-encrypted)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	5985	tcp	HTTP
8	HTTP/1.1 200 (application/http-kerberos-session-encrypted)	[接続先IPアドレス]	5985	[接続元IPアドレス]	[接続元ポート番号]	tcp	HTTP
9	POST /wsman HTTP/1.1 (application/http-kerberos-session-encrypted)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	5985	tcp	HTTP
10	HTTP/1.1 200 (application/http-kerberos-session-encrypted)	[接続先IPアドレス]	5985	[接続元IPアドレス]	[接続元ポート番号]	tcp	HTTP
11	POST /wsman HTTP/1.1 (application/http-kerberos-session-encrypted)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	5985	tcp	HTTP
12	HTTP/1.1 200 (application/http-kerberos-session-encrypted)	[接続先IPアドレス]	5985	[接続元IPアドレス]	[接続元ポート番号]	tcp	HTTP
13	POST /wsman HTTP/1.1 (application/http-kerberos-session-encrypted)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	5985	tcp	HTTP
14	HTTP/1.1 204	[接続先IPアドレス]	5985	[接続元IPアドレス]	[接続元ポート番号]	tcp	HTTP