Wie Verwenden von Netzwerkmonitor zum Aufzeichnen von Netzwerkverkehr

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 812953 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Hinweis
Dieser Artikel bezieht sich auf Windows 2000. Unterstützung für Windows 2000 endet am Juli 13, 2010. Das Windows 2000 End-of-Support Solution Center ist ein Ausgangspunkt für die Planung der Strategie für die Migration von Windows 2000. Weitere Informationen finden Sie in den Microsoft Support Lifecycle Policy.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt verschiedene empfohlene Vorgehensweisen verwenden, wenn Sie Microsoft Netzwerkmonitor (Netmon.exe), verwenden um den Netzwerkverkehr aufzuzeichnen.

Eine Netzwerkablaufverfolgung, die eine der folgenden Merkmale ist möglicherweise die erfolgreiche Analyse der gesammelten Netzwerkverkehr verhindern:
  • Die Netzwerkablaufverfolgung enthält nicht alle notwendigen Netzwerkdatenverkehr.
  • Es enthält zu viele unnötigen Netzwerkverkehr.
  • Es ist nicht begleitet von Computername und Adressinformationen von den betroffenen Computern.

Definitionen

In diesem Artikel werden die folgenden Definitionen verwendet:
  • Erfassen (oder Trace): der Netzwerkverkehr erfasst und mithilfe von Microsoft Netzwerkmonitor (Netmon.exe) gespeichert.
  • Monitor-Computer: der Computer, auf dem Netzwerkmonitor ausgeführt wird.
  • Zielcomputer: ein Computer, dessen Netmon.exe Netzwerkverkehr, erfasst.
  • Zieladresse: die bestimmten Protocol-Adresse des Zielcomputers.

Vornehmen der Ziel-Computer-Verkehr auf dem Computer Monitor

Wenn Sie den Netzwerkmonitor nicht auf dem Zielcomputer ausführen, stellen Sie sicher, dass alle der Netzwerkdatenverkehr zwischen dem Zielcomputer an den Netzwerkadapter des Computers Monitor verfügbar ist. Dazu in der Ethernet-Umgebung, den Monitor Computer- und dem Zielcomputer mit einem Netzwerkhub verbunden. Wenn der Monitor und Ziel-Computer in einem leitungsvermittelten Netzwerk sind (z. B. Sie verbunden sind mit einem Ethernet-Switch), die alle den Netzwerkverkehr zu und von der Ziel-Computer möglicherweise nicht verfügbar, um den Computer überwachen.

Hinweis: In der Regel ein Hub bietet alle Netzwerkpakete an alle Netzwerk-Schnittstellen (oder Ports) und ein Schalter stellt alle Pakete an den vorgesehenen Port. Komplexere Befehlszeilenoptionen können es ermöglichen, Optionen für multicast Paketfilterung und erweiterte Port, Port bridging für Netzwerk erfasst und überwachen.

Adresse-Datenbanken

So suchen und speichern den Zielcomputer Adressen:

Adresse-Auflistung post-Capture

  1. Wenn die Netzwerk-Sammlung nicht sichtbar, ist (beispielsweise, wenn Sie anstelle von Beenden und anzeigen im Menü Sammeln auf Beenden klicken, oder wenn ein Sammlungsauslösers in Kraft war), klicken Sie im Menü Sammeln auf Gesammelte Daten anzeigen, oder drücken Sie die F12-Taste, um anzeigen gesammelter Daten.
  2. Klicken Sie im Menü Anzeige auf Suchen alle Namen.
  3. Die Meldung besagt, dass eine bestimmte Anzahl von Namen in die aufgezeichneten Daten gefunden wurden klicken Sie auf OK.
  4. Speichern der Adressdatenbank wie im Abschnitt Saving an Address Database dieses Artikels beschrieben.

Speichern einer Adressdatenbank

Adresse-Datenbankdateien möglicherweise ungenau werden, wenn die Adresse des Ziel-Computers ändert. Dieses Verhalten kann auftreten, wenn das Dynamic Host Configuration Protocol (DHCP)-Lease abläuft oder ersetzen Sie den Netzwerkadapter. Microsoft empfiehlt daher, dass Sie speichern Adressdatenbanken, die spezifisch für den Netzwerkmonitor erfasst.

Um die Netzwerkmonitor im Arbeitsspeicher Adressdatenbank Adr-Datei zu speichern:
  1. Klicken Sie in Microsoft Netzwerkmonitor im Menü Sammeln auf Adressen.

    Hinweis: Wenn die sammeln: n (Zusammenfassung) im Dialogfeld geöffnet ist, klicken Sie im Menü Sammeln wird nicht angezeigt.
  2. Klicken Sie auf Speichern, geben Sie einen beschreibenden Namen in das Feld Dateiname den Namen, und klicken Sie dann auf Speichern.

Address-Auflistung pre-Capture: Der Zielcomputer ist im Netzwerk

  1. Klicken Sie in Microsoft Netzwerkmonitor im Menü Extras auf Lösen Adressen aus dem Feld Name.

    Hinweis: Dieser Befehl steht nur in der Version des Netzwerkmonitors mit Microsoft Systems Management Server (SMS) bereitgestellt.
  2. Geben Sie in der Liste Name den Namen des Zielcomputers, und klicken Sie dann auf Auflösen.

    Abhängig von im Netzwerk und Ziel-Computerkonfiguration und die Optionen für die Namensauflösung verfügbar kann Netzwerkmonitor typische Adressen wie z. B. Ethernet, in der Token Ring, IP- und IPX/XNS, die mit dem Zielcomputer verbunden sind, auflisten.
    • Wenn der Name aufgelöst wird, klicken Sie auf Adresse speichern, die Adressen der Netzwerkmonitor in Speicheradresse Datenbank hinzuzufügen.
    • Wenn der Name nicht aufgelöst ist und eine "Adresse nicht gefunden" angezeigt, versuchen, den Zielcomputer aus dem Netzwerk zu speichern, wie beschrieben in die Pre-Capture Address Collection: Target Computer is off the Network Abschnitt dieses Artikels.
  3. Klicken Sie auf Schließen und speichern Sie die Adressdatenbank.

Pre-Capture Adresse Sammlung: Zielcomputer ist, deaktiviert das Netzwerk

Das folgende Verfahren verwenden möchten, müssen Sie die Zieladresse kennen. Microsoft empfiehlt, dass Sie die Adresse Media Access Control (MAC) des Zielcomputers verwenden. Legen Sie für bestimmte Protokolle, wie z. B. IP, Sammelfiltern können dazu führen, dass Netzwerkmonitor, um anderen Datenverkehr wie z. B. IPX/XNS ignorieren.
  1. Klicken Sie auf Adressen im Menü Sammeln, und klicken Sie dann auf Hinzufügen.
  2. Geben Sie im Feld Name den Namen des Zielcomputers.
  3. Geben Sie die Adresse des Zielcomputers beispielsweise im Feld Adresse, geben Sie die IP-Adresse des 192.247.26.40.
  4. Klicken Sie in der Liste Typ auf den Typ der Adresse, die Sie im Feld Adresse verwendet. Klicken Sie beispielsweise auf IP.
  5. Klicken Sie auf OK, um die Adresse mit dem Netzwerk hinzufügen Monitor im Arbeitsspeicher Adressdatenbank.
  6. Speichern Sie die Adressdatenbank.

Sammlungsfilter

Die folgenden Beispiele veranschaulichen verschiedene allgemeine Capture-Filter konfigurieren. Microsoft empfiehlt, dass den Filter zu, für den MAC setzen Adresse des Zielcomputers (z. B. die ETHERNET-Adresse), falls möglich. Legen Sie für bestimmte Protokolle, wie z. B. IP, Sammelfiltern bewirkt, dass Network Monitor zum anderen Protokoll Datenübertragungstypen, wie z. B. IPX/XNS ignorieren.

Erfassen Sie Gesamter Datenverkehr zu und von einem Zielcomputer

  1. Klicken Sie im Menü Sammeln auf Filter.
  2. Doppelklicken Sie auf das AND (Adresspaare) Knoten.
  3. Klicken Sie in der Liste Name unter Station 1 auf den Namen des Zielcomputers, dessen Daten Sie sammeln möchten.
  4. Klicken Sie unter Richtung auf <-->, und klicken Sie dann auf OK.

Erfassen Sie alle Datenverkehr zwischen zwei Ziel Computern

  1. Klicken Sie im Menü Sammeln auf Filter.
  2. Doppelklicken Sie auf das AND (Adresspaare) Knoten.
  3. Klicken Sie in der Liste Name unter Station 1 auf den Namen des Zielcomputers, dessen Daten Sie sammeln möchten.
  4. Klicken Sie unter Richtung auf <-->.
  5. Klicken Sie in der Liste Name unter Station 2 auf den Namen der anderen Zielcomputer, deren Daten Sie sammeln möchten.
  6. Klicken Sie auf OK, und klicken Sie dann auf OK.

Speichern einen Sammlungsfilter

Um einem Sammelfilter des Netzwerkmonitors in einen CF-Datei zu speichern:
  1. Klicken Sie im Menü Sammeln auf Filter.
  2. Klicken Sie auf Speichern, geben Sie einen beschreibenden Namen in das Feld Dateiname den Namen, und klicken Sie dann auf Speichern.

Puffer erfassen

Standardmäßig Speichern des Netzwerkmonitors können Aufzeichnungen bis zu 1 Gigabyte (GB). Um die Standardeinstellung 1 MB zu ändern, klicken Sie auf Puffer Einstellungen Sie im Menü Netzwerkmonitor Aufzeichnen.
  • Stellen Sie sicher, dass die Puffergröße ausreichend, um ausreichend Netzwerkverkehr Aufzeichnen ist. Legen Sie eine typische Baseline, legen Sie eine entsprechende Sammlungsfilter gegen einen Client arbeiten, und führen Sie eine Test-Aufzeichnung. Wenn die gespeicherte Aufzeichnung die gleiche Größe wie die Puffereinstellung ist, müssen Sie den Puffer vergrößern. Im Allgemeinen ist den Puffer um den Faktor 2 zu erhöhen.
  • Stellen Sie sicher, dass die Einstellungen für den virtuellen Speicher (Auslagerungsdatei) des Computers überwachen die maximale Größe verarbeiten können, die Sie speichern möchten.

Erfassen von Triggern

Sammlungsauslöser sind für Situationen, in der Regel festgelegt, in denen es schwierig, um zu verhindern, dass der Sammlungspuffer überschritten ist. Dies tritt häufig auf, wenn eine der folgenden Bedingungen erfüllt sind:
  • Sie können nicht zuverlässig, das Problem reproduzieren, das Sie mithilfe einer bestimmten Prozedur untersuchen.
  • Sie können keine Aktionen auf dem Monitor und dem Ziel Computer effektiv koordinieren.
  • Sie müssen den gesamten Datenverkehr zu und von einem stark ausgelasteten Server aufzeichnen. Beispielsweise müssen Sie hier, um die Datei Sperrverletzungen diagnostizieren tun.
Um einen Sammlungsauslöser zu entwerfen, müssen Sie in der Regel ein Beispiel-Paket ein Byte-Muster für einen bestimmten Offset abgeleitet. Z. B. der Offset für die SMB-'Status Code Systemfehler' unterscheidet sich für NBT (NetBIOS-Transport über IP) und SMB Direct gehostet (TCP/UDP-Port 445). Im folgenden Beispiel wird veranschaulicht, wie einen Sammlungsauslöser fest, der die Aufzeichnung, beendet Wenn Sie versuchen, eine Verbindung zu einer nicht vorhandenen Freigabe auf einem vorhandenen Server herzustellen. Das Beispiel enthält keine Capture-Filter-Details.

Die Beispiel-Fehlermeldung ist der Win32-Fehlercode 0xC00000CC. Der Fehlercode wird angezeigt, in einer der SMB-Aufzeichnung ' Statuscode Systemfehler 'Feld als' STATUS_BAD_NETWORK_NAME '. Dieser Fehler wird in "ntstatus.h" definiert. Microsoft Software Development Kit (SDK) enthält dieser Definition. Weitere Informationen finden Sie auf folgender Website von Microsoft:
http://www.microsoft.com/msdownload/platformsdk/sdkupdate/
Weitere Informationen finden Sie die folgende KB-Artikelnummer:
113996INFO: Zuordnen von NT Status Fehlercodes zu Win32 Error Codes
  1. Auf dem Computer überwachen:
    1. Starten Sie den Netzwerkmonitor.
    2. Klicken Sie im Menü Sammeln auf Trigger.
    3. Klicken Sie unter Auslöser auf auf Muster übereinstimmen.
    4. Klicken Sie unter Muster auf von Start der Frame, und klicken Sie dann auf Hex.
    5. Geben Sie im Feld versetzt (Hex)3f.
    6. Geben Sie im Feld Mustercc0000c0

      Hinweis: die little-Endian-Byte-Muster entspricht dem der Fehler DWORD-0xC00000CC.
    7. Wählen Sie unter Trigger Aktion klicken Sie auf Sammlung beenden, und klicken Sie dann auf OK.
    8. Klicken Sie im Menü Sammeln auf Starten.
  2. Auf dem Zielcomputer:
    1. Klicken Sie auf Start, und klicken Sie dann auf Ausführen.
    2. Geben Sie im Feld Öffnen\\ servername \ invalid-sharename, wobei servername ein gültiger Servername ist, und invalid-sharename der Name einer nicht vorhandenen Freigabe ist.
    3. Klicken Sie auf OK. Wenn die Meldung, die besagt, dass der Netzwerkname nicht gefunden werden kann, klicken Sie auf OK
  3. Auf dem Computer überwachen:
    1. Die Aufzeichnung wird automatisch beendet. Klicken Sie im Menü Datei auf Speichern unter.
    2. Geben Sie einen beschreibenden Namen für die Aufzeichnung im Feld Dateiname den Namen, und klicken Sie dann auf Speichern.

Problembehandlung bei

  • Verwenden Sie beschreibende Namen beim Speichern aufgezeichneter Netzwerk Datenverkehr..

    Wenn Sie eine Netzwerk-Monitor-Aufzeichnung speichern, ist es sinnvoll, einen aussagekräftigen Dateinamen zu verwenden. Beispiel:
    Computer1_connect_failure_05_dec_2002.Adr
    Obwohl eine Sammlungsdatei die Uhrzeit enthält, kann das Datum nicht offensichtlich oder überprüfbar, insbesondere, wenn die Datei geändert wird. Sie müssen möglicherweise während der Analyse die Sammlungsdateien zu ändern. Beispielsweise die Verbindung von Server Message Block (SMB) Client oder Server Pakete auf der MAC-Adresse abhängig ist. Ein Router zwischen einem Client und einem Servercomputer möglicherweise die MAC-Adresse verbergen. Netzwerkmonitor kann nicht vollständig analysiert werden einige Reaktionen in diesem Fall z. B. verteilte Datei System (DFS) Referral Antworten. Einige Versionen des Netzwerkmonitors können Sie die Aufzeichnung bearbeiten. Infolgedessen können Sie die MAC-Adresse von Router mit dem des Zielservers ersetzen. Dies ermöglicht die SMB-Parser mit, dass das angegebene Paket in einem besser lesbaren Form zu unterteilen.
  • Stellen Sie sicher, dass die Uhren zwischen Computern. synchronisiert sind.

    Für viele Diagnoseverfahren benötigen Sie ein Ereignis oder Debuggen Komponente und Netzwerkmonitor-Ablaufverfolgungen des Problems. Andere Protokolldateien mit dem Netzwerkmonitor-Ablaufverfolgungen erfolgreich Querverweis verweisen möchten, müssen Sie die Uhren synchronisiert zwischen Computern verfügen.
  • Speichern Sie die IP-Adresse Informationen..

    Da DHCP-Lease-Ablaufzeit IP-Adressänderungen auf dem Client Computern verursachen kann, müssen Sie aufzeichnen, oder speichern entsprechende IP-Adresse, die Informationen während der Netzwerkmonitor erfasst.
  • Versuchen, die Aufzeichnung zu starten, bevor das Problem tritt auf,..

    Erfassen Sie Datenverkehr, der erforderlich und ausreichend, um ein Problem dokumentiert ist. Dazu müssen Sie eine Aufzeichnung starten, bevor Sie die erste Verbindung zwischen zwei Zielcomputern vornehmen und dann, beenden nachdem das Problem Verhalten auftritt. Beispielsweise arbeiten mit dem SMB-Protokoll Dateioperationen gegen Handles. Um den Dateinamen kennen, müssen erfassen die Datei geöffnet (oder erstellen)-Operation.
  • Versuchen, erfassen Sie sowohl "Erfolg" und "Fehler" Ablaufverfolgungen..

    Falls möglich, Erfassen von Ablaufverfolgungen, in dem das Problem tritt auf, und, wo es tritt nicht auf. Es empfiehlt sich, diese Ablaufverfolgungen mit demselben Zielcomputer erfassen. Wenn dies nicht möglich ist, versuchen Sie, erfassen es aus dem nächstgelegenen mögliche Konfiguration und Netzwerkumgebung, die Sie erstellen können. Beispielsweise beide Zielcomputern sollten kommunizieren mit dem gleichen Server oder demselben Clientcomputer sollten mit ähnlich konfigurierte Server kommunizieren.
  • Dokument-Aktionen, die generieren erhebliche Netzwerk Datenverkehr..

    Dokumentieren Sie die Aktionen, die Sie für das Ziel ausführen Computern erheblichen Netzwerkverkehr erzeugt. Z. B. in eine IP-Umgebung können Sie vereinfachen die Cross verweisen der Aufzeichnung der Benutzeraktivität, Programmaktivität oder Batch Dateiaktivitäten. Führen Sie hierzu einmalige Ping-Befehle, um eine eindeutige IP-Adresse direkt vor die Aktivitäten und dann nach der Aktivitäten.


Informationsquellen

Weitere Informationen finden Sie die folgenden Artikeln der Microsoft Knowledge Base:
810156Fehlermeldung "Keine Netzwerk-Treiber wurden gefunden" nach dem Installieren von Netzwerkmonitor
261327Hinzufügen einer zusätzlichen Parser zu Netzwerkmonitor
164961Netzwerk-Monitor-Setup suchen nicht vorherige Installation von Version.
Weitere Informationen über das Dienstprogramm "Network Monitor Capture" in Windows XP enthalten klicken Sie auf die folgende KB-Artikelnummer:
310875Beschreibung des Programms Netzwerkmonitor-Aufzeichnung


Eigenschaften

Artikel-ID: 812953 - Geändert am: Montag, 30. Oktober 2006 - Version: 2.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbmt kbhowtomaster KB812953 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 812953
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com