Описание средства записи сетевого трафика в сетевом мониторе

Переводы статьи Переводы статьи
Код статьи: 310875 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Аннотация

В статье описывается процедура использования средства записи сетевого трафика в сетевом мониторе (Netcap.exe).

Дополнительная информация

Netcap обеспечивает захват только из командной строки; для открытия итоговых файлов (.cap) необходимо использовать полный интерфейс сетевого монитора.

Netcap устанавливается вместе со средствами поддержки с установочного компакт-диска Windows XP.

Дополнительные сведения об установке средств поддержки см. в следующей статье базы знаний Майкрософт:
306794 Установка средств поддержки с компакт-диска Windows XP (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Сетевой монитор входит в состав продуктов Windows Server, а также Microsoft Systems Management Server (SMS).

Средство Netcap обеспечивает функции записи трафика, аналогичные функциям сетевого монитора, входящего в состав продуктов Windows Server, однако средство Netcap работает только в командной строке. Средство Netcap устанавливает драйвер сетевого монитора и привязывает его ко всем адаптерам при первом запуске Netcap.

Ниже представлен полный синтаксис Netcap:
 Использование: NetCap.exe [/B:#] [/T <Тип> <Буфер> <Шестнадцатеричное_смещение> <Шестнадцатеричный_шаблон>]
                   [/F:<filterfile.cf>] [/C:<файл захвата>] [/N:#]
                   [/L:HH:MM:SS] [/TCF:<имя_папки>]

 Пример: NetCap /B:20 /N:2 /T BP 100 0a ff1f /F:d:\IPFilter.CF

МБ/B:# — буфер, объем захвата, от 1 МБ до 1000 МБ, по умолчанию 1МБ

 /T   — триггер, прекращение записи при заполнении указанного буфера и/или шаблона
        Если триггер не задан, захват прекращается при заполнении буфера
        Используйте команду "/T N" для продолжения захвата после заполнения буфера
        При заполнении буфера наиболее старые кадры записи перезаписываются новыми
        Примечание. При использовании команды "/T N" для прекращения захвата нажмите пробел

       <Тип>      — 'B' = буфер, 'P' = шаблон, 'BP' = буфер, затем шаблон,
                     'PB' = шаблон, затем буфер 'N' = без триггера

       <Buffer>    — % объем буфера '25', '50', '75', '100' при использовании с 
                     B, BP, PB (NOT P)

       <HexOffset> — шестнадцатеричное смещение с начала кадра при использовании с P, BP, PB (NOT B) 

       <HexPattern> — шестнадцатеричный шаблон для сопоставления при использовании с P, BP, PB (NOT B)
                     Шаблон должен состоять из четного количества шестнадцатеричных цифр

 /C:<Capture File> — временное перемещение записи в указанный полный путь и/или имя файла
                     Это может быть любой действительный локальный или удаленный путь
                     Если "/C" не указан, файл записи будет сохранен
                     во временной папке, заданной по умолчанию

 /F:<filterfile.cf> — файл записи, создаваемый сетевым монитором версии 2.x (*.cf)

 /L:<HH:MM:SS>     — захват в течение заданного промежутка времени (макс. 99:99:99) 
                     Примечание. Данный параметр отменяет 100% триггер, заданный по умолчанию
                     если "/T <тип триггера>" не указан 

 /TCF:<Имя_папки> — изменяет временную папку записи
                     Предупреждение: должен быть указан путь на локальном жестком диске
                     После того как путь будет задан, для изменения каталога
                     необходимо использовать параметр

 /Remove           — удаление экземпляра драйвера сетевого монитора Netcap

 /N:<#>            — порядковый номер NIC (сетевой карты) данного компьютера
					
Для определения порядкового номера сетевой платы используется команда netcap /?. В разделе информации о синтаксисе представлен перечень адаптеров, установленных на компьютере. Из перечня можно выбрать нужный адаптер для записи. Например, если требуется осуществить запись трафика для подключения удаленного доступа на компьютере со следующими адаптерами, используйте сетевую плату с номером 0:
 Для этих адаптеров используются следующие порядковые номера:
 (default) 0 = ETHERNET (2C3D20524153) WAN (PPP/SLIP) Interface
           1 = ETHERNET (000039139635) Local Area Connection 2
           2 = ETHERNET (0000390E118E) Local Area Connection
					
Ниже приведены примеры команд Netcap:
  • Для записи трафика на сетевой карте 1 (NIC1) при наличии буфера 10 МБ используется следующая команда :
    netcap /n:1 /b:10
  • Как правило, Netcap прекращает запись при заполнении буфера. Для записи трафика при использовании очереди (FIFO), являющейся стандартной настройкой для сетевого монитора, используется следующая команда:
    netcap /t n
    Помните о том, что для прекращения записи можно нажать пробел.
  • Для записи трафика в течение 1 часа при использовании очереди FIFO 1 МБ используется следующая команда:
    netcap /L:01:00:00
  • Для удаления драйвера сетевого монитора используется следующая команда:
    netcap /remove
Файлы записи, созданные с помощью средства Netcap, по умолчанию размещаются в папке UserProfile\Local Settings\Temp, где UserProfile — имя профиля пользователя. Папку, в которую файлы сохраняются по умолчанию, можно изменять при помощи параметров /c или /tcf.

Дополнительные сведения о записи сетевого трафика, понятиях или терминах, используемых в данной статье, см. в следующей статье базы знаний Майкрософт:
148942 Запись сетевого трафика с помощью сетевого монитора

Свойства

Код статьи: 310875 - Последний отзыв: 10 марта 2006 г. - Revision: 1.0
Информация в данной статье применима к:
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
Ключевые слова: 
kbinfo KB310875

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com