Сбор данных с помощью сетевого монитора Collect data using Network Monitor

В этом разделе вы узнаете, как использовать Microsoft Network Monitor 3.4, который является средством захвата сетевого трафика. In this topic, you will learn how to use Microsoft Network Monitor 3.4, which is a tool for capturing network traffic.

Network Monitor — это архивный анализатор протокола, который больше не находится в разработке. Network Monitor is the archived protocol analyzer and is no longer under development. Анализатор сообщений Майкрософт — это замена сетевого монитора. Microsoft Message Analyzer is the replacement for Network Monitor. Дополнительные сведения см. в руководстве по операционной работе анализатора сообщений Майкрософт. For more details, see Microsoft Message Analyzer Operating Guide.

Чтобы начать работу, скачайте средство Network Monitor. To get started, download Network Monitor tool. При установке сетевого монитора он устанавливает драйвер и подключает его к всем сетевым адаптерам, установленным на устройстве. When you install Network Monitor, it installs its driver and hooks it to all the network adapters installed on the device. На свойствах адаптеров можно увидеть то же самое, что и на следующем изображении: You can see the same on the adapter properties, as shown in the following image:

Когда во время установки драйвер подключается к карте сетевого интерфейса (NIC), NIC повторно получает новый интерфейс, что может вызвать кратковременный сбой в сети. When the driver gets hooked to the network interface card (NIC) during installation, the NIC is reinitialized, which might cause a brief network glitch.

Для захвата трафика To capture traffic

Запустите netmon в повышенном состоянии, выбрав run as Administrator. Run netmon in an elevated status by choosing Run as Administrator.

Сетевой монитор открывается со всеми сетевыми адаптерами. Network Monitor opens with all network adapters displayed. Выберите сетевые адаптеры, в которых необходимо захватить трафик, нажмите кнопку Новыйзахват и нажмите кнопку Начните. Select the network adapters where you want to capture traffic, click New Capture, and then click Start.

Воспроизведите проблему, и вы увидите, что Network Monitor захватывает пакеты на проводе. Reproduce the issue, and you will see that Network Monitor grabs the packets on the wire.

Выберите Стопи перейдите в файл > сохранить результаты. Select Stop, and go to File > Save as to save the results. По умолчанию файл будет сохранен в качестве файла «.cap». By default, the file will be saved as a «.cap» file.

Сохраненный файл запечатлел весь трафик, который пропускается в выбранные сетевые адаптеры на локальном компьютере и из него. The saved file has captured all the traffic that is flowing to and from the selected network adapters on the local computer. Однако вы заинтересованы только в том, чтобы посмотреть трафик/пакеты, связанные с конкретной проблемой подключения, с которой вы столкнулись. However, your interest is only to look into the traffic/packets that are related to the specific connectivity problem you are facing. Чтобы увидеть только связанный трафик, необходимо отфильтровать сетевой захват. So you will need to filter the network capture to see only the related traffic.

Часто используемые фильтры Commonly used filters

• Ipv4.address==»client ip» и ipv4.address==»server ip» Ipv4.address==»client ip» and ipv4.address==»server ip»
• Tcp.port== Tcp.port==
• Udp.port== Udp.port==
• Icmp Icmp
• Arp Arp
• Property.tcpretranmits Property.tcpretranmits
• Property.tcprequestfastretransmits Property.tcprequestfastretransmits
• Tcp.flags.syn==1 Tcp.flags.syn==1

Если вы хотите отфильтровать захват для определенного поля и не знать синтаксис для этого фильтра, щелкните правой кнопкой мыши это поле и выберите Добавить выбранное значение для **отображения фильтра ** **. If you want to filter the capture for a specific field and do not know the syntax for that filter, just right-click that field and select Add the selected value to Display Filter.

Сетевые трассировки, которые собираются с помощью команд netsh, встроенных в Windows, являются расширением «ETL». Network traces which are collected using the netsh commands built in to Windows are of the extension «ETL». Однако эти файлы ETL можно открыть с помощью сетевого монитора для дальнейшего анализа. However, these ETL files can be opened using Network Monitor for further analysis.

Сведения о сетевом мониторе 3

В этой статье содержатся сведения о загрузке и поддержке, заметки по установке и общие сведения об использовании сетевого монитора 3.

Исходная версия продукта: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 933741

Аннотация

В этой статье содержатся сведения о Microsoft Network Monitor 3. Сетевой монитор 3 — это анализатор протокола. Она позволяет захватывать, просматривать и анализировать сетевые данные. Его можно использовать для устранения неполадок с приложениями в сети.

В этой статье содержатся сведения о загрузке и поддержке, заметки по установке и общие сведения об использовании сетевого монитора 3. Network Monitor 3.4 — это последняя версия.

Основные функции сетевого монитора 3

Сетевой монитор 3 — это полная перестройка предыдущего сетевого монитора 2. версия x. Ниже ключевых функций сетевого монитора 3:

• Модель разберега на основе скриптов с частыми обновлениями
• Сеансы одновременного захвата в прямом окте
• Поддержка Windows 7
• Поддержка 32-битных и 64-битных платформ
• Поддержка сетевых бесед и отслеживания процессов
• API для доступа к механизму захвата и разбиение
• Запись в режиме беспроводного монитора

Загрузка и поддержка информации

Скачайте последнюю версию сетевого монитора Network Monitor 3.4.

Сведения о поддержке сетевого монитора 3.4 находятся на [этом форуме] ( https://social.technet.microsoft.com/Forums/home?forum=netmon) .

Заметки по установке

Сетевой монитор 3.4 может сосуществовать с network Monitor 2.x. По умолчанию в папке установлен сетевой монитор 3.4. %Program Files%\Microsoft Network Monitor 3 Поэтому конфликты не возникают, если более ранная версия установлена в другой папке на компьютере. При установке сетевого монитора 3.4 все предыдущие версии сетевого монитора 3 будут выгрузлены.

Сетевой монитор 3.4 включает новый драйвер для Windows Vista, Windows Server 2008 и Windows 7. Этот новый драйвер поддерживает новые функции драйвера NDIS 6.0. При использовании средств, использующих сетевой монитор 2. X NPPTools, средства больше не будут работать. Для захвата данных сети в Windows Vista необходимо использовать сетевой монитор 3.4. Сетевой монитор 2. X неправильно захватывает сетевые данные в Windows Vista.

Ниже перечислены предлагаемые аппаратные средства для запуска сетевого монитора 3.4.

• Процессор с тактовой скоростью 1 ГГц
• 1 ГБ или больше памяти
• 60 МБ доступного места на жестком диске и дополнительное место на жестком диске для хранения файлов захвата

Сетевой монитор 3.4 поддерживается в следующих операционных системах:

• Windows 7
• Windows 2008 Server
• Windows Vista
• Windows XP
• Windows Server 2003

Предупреждения и предупреждения

В настоящее время не рекомендуется запускать сетевой монитор 3 в производственных системах, где дополнительная нагрузка может повлиять на производительность. В сценариях, где необходимо учитывать нагрузку, используйте версию сетевого монитора 3 из командной строки для захвата данных сети. Версия командной строки Nmcap.exe. Дополнительные сведения о Nmcap.exe см. в Nmcap.exe командной строки в разделе «Общие сведения об использовании».

Сетевой монитор 3 может потреблять множество системных ресурсов. Ниже перечислены некоторые из вещей, которые следует учесть.

При запуске сеанса захвата сетевой монитор 3 сохраняет кадры в последовательности файлов захвата, расположенных в папке \Temp. По умолчанию размер каждого файла захвата составляет 20 МБ. По умолчанию, если не остановить сеанс захвата, сетевой монитор 3 продолжает хранить файлы захвата в папке \Temp, пока доступное место на жестком диске на компьютере не будет меньше 2 процентов. Затем сетевой монитор 3 останавливает сеанс захвата.

Можно настроить размер файла захвата, расположение, где хранятся файлы захвата, доступное ограничение дискового пространства и другие параметры захвата. Для этого в меню «Инструменты» выберите пункт «Параметры» и перейдите на вкладку «Захват».

Помимо записи данных сетевой монитор 3 назначает свойства кадрам, а затем использует их для группировки кадров в беседы. Сетевой монитор 3 отображает беседы и связанные кадры в древообразной структуре в области сетевых бесед.

Функция «Беседы» сетевого монитора 3 значительно увеличивает объем используемой памяти. Это может привести к тому, что компьютер не будет на них оказаться неотвежительным. По умолчанию функция «Беседы» включена. Для некоторых фильтров протокола более высокого уровня требуются свойства беседы. Чтобы отключить функцию «Беседы», выберите пункт «Параметры» в меню «Инструменты», перейдите на вкладку «Захват» и снимите этот пункт.

Функция «Беседы» сетевого монитора 3 может значительно увеличить использование процессора при обработке большого числа кадров. По умолчанию функция «Беседы» отключена, как упоминалось в разделе «Использование памяти».

Общее использование

Общие сведения об использовании сетевого монитора 3 перечислены ниже.

Захват данных сети

Как упоминалось ранее, сетевой монитор 3 может потреблять множество системных ресурсов. Таким образом, если вы хотите свести к минимуму влияние на системные ресурсы, которые могут возникнуть при использовании сетевого монитора 3 для захвата данных, используйте Nmcap.exe командной строки для сбора данных.

Сетевой монитор 3 позволяет собирать сетевые данные и просматривать сетевые данные в режиме реального времени при их захвате. Чтобы запустить сеанс захвата в сетевом мониторе 3, перейдите на вкладку «Начальняя страница», выберите «Создать новую вкладку захвата», а затем нажмите кнопку «Начать захват» или нажмите клавишу F10.

Сетевой монитор 3 использует простой синтаксис, основанный на выражениях, для фильтрации кадров. Все кадры, которые соответствуют выражению, отображаются для пользователя. Для получения дополнительных сведений о фильтрах сделайте следующее: — Просматривайте разделы в разделе «Использование фильтров» руководства пользователя «Сетевой монитор 3». Для этого в меню справки щелкните «Содержимое» и «SDK», а затем дважды щелкните «Фильтры». — В меню «Справка» выберите «Как сделать» и «Использовать фильтры». — Используйте вкладку «Фильтр захвата» или вкладку «Фильтр отображения» для просмотра стандартных фильтров.

По умолчанию функция «Беседы» включена. Функция бесед может потреблять много памяти, особенно в сценариях, когда вы захватываете данные в течение длительного времени. Чтобы отключить функцию «Беседы», выберите пункт «Параметры» в меню «Инструменты», а затем снимите на вкладке «Захват» пункт «Включить беседы».

Если функция бесед включена, кадры группироваться и отображаться в области сетевых бесед в древообразной структуре в соответствии с беседами, к которым они принадлежат, вместе с информацией о процессе. Например, данные TCP, использующие один и тот же исходный порт и один и тот же порт назначения, организованы в группу. При щелчке узла в области «Сетевые беседы» соответствующий фильтр бесед автоматически применяется к кадрам в области «Сводка по кадрам». Отображаются только кадры, которые относятся к этой конкретной беседе.

Nmcap.exe командной строки

Средство Nmcap.exe командной строки позволяет настроить время запуска сеанса захвата или остановки сеанса захвата. Вы также можете использовать Nmcap.exe командной строки для создания цепных захватов. Сцепленные захваты позволяют создавать несколько файлов захвата. Однако размер файлов захвата остается небольшим. В настоящее время NMCap не может сохранять сведения о процессе.

Сетоязычные мониторы 3 написаны на языке, специально для того, чтобы сделать разработку разбиителей более простой. Это также обеспечивает уровень защиты от потенциального использования вредоносного кода, которое может произойти, если средства различета были созданы как DLL-файлы. NPL предоставляет доступ к обсчетам. Вы можете просмотреть или изменить разбиителей, включенных в сетевой монитор 3.

Распространенные проблемы

Протоколы могут неправильно разлиться. Эта проблема может возникнуть при любом из следующих условий:

Функция «Беседы» отключена.

Некоторые протоколы зависят от свойств беседы для хранения значений состояния, которые могут потребоваться в последующих кадрах. Например, для TCP необходимы беседы для хранения сведений о перенатранслированные кадры. Фильтр для перенагрузок TCP не будет работать, если не включена функция «Беседы».

Аналогичным образом протокол SMB не может перевести ответ на команду Transact, так как ответ не содержит исходной команды. Сведения сохраняются в свойствах беседы.

Возможно, полные обсчеты не включены. По умолчанию мы встраим подмножество полных обсчетов из соображений производительности. Чтобы включить полный набор, выполните следующие действия:

1. В меню Сервис щелкните пункт Параметры.
2. Перейдите на вкладку «Разбор».
3. Выберите строку Windows, а затем нажмите кнопку «Затмение», пока в столбце «Set» не отобразятся полные строки.

При запуске сетевого монитора 3 на компьютере с Windows Vista вы получаете одно из следующих сообщений об ошибке:

Сообщение об ошибке 1:

Ни один из сетевых адаптеров не привязан к драйверу Netmon

Сообщение об ошибке 2:

Этот сетевой адаптер не настроен для захвата с помощью сетевого монитора

Эта проблема возникает при любом из следующих условий:

• Сетевой монитор 3 не запущен от администратора.
• Вы не входите в группу «Пользователи Netmon».

При первой установке сетевого монитора 3 в Windows Vista или более поздних версиях мы добавляем учетную запись установщиков в группу «Пользователи Netmon». Но это не вступает в силу до тех пор, пока вы не выйдите из нее, а затем снова войдите в систему. Если вам нужно выполнить захват немедленно, можно запустить сетевой монитор 3 от качестве администратора.

Дополнительные сведения см. в заметках о выпусках Сетевого монитора 3 или в разделе «Работа с Windows Vista» справки network Monitor 3.