Cómo utilizar el Monitor de red para capturar el tráfico de red

En este artículo se describen varias prácticas recomendadas para utilizar cuando se utiliza Monitor de red (Netmon.exe) de Microsoft para capturar el tráfico de red.

Una traza de red que tiene activada cualquiera de las características siguientes puede impedir que el análisis de tráfico de red capturado correcto:

• La traza de red no contiene todo el tráfico de red necesarios.
• Contiene demasiado tráfico de red innecesarios.
• No acompañado nombre de equipo información y direcciones de los equipos afectados.

Definiciones

En este artículo se utilizan las siguientes definiciones:

• Capturar (o Trace): el tráfico de red recopila y guardado con el Monitor de red de Microsoft (Netmon.exe).
• Equipo de Monitor: el equipo que ejecuta el Monitor de red.
• Equipo de destino: equipo cuya red tráfico Netmon.exe captura.
• Dirección de destino: la dirección de protocolo específico del equipo de destino.

Hacer que el tráfico del equipo de destino estén disponibles para el equipo de Monitor

Si no está ejecutando a Monitor de red en el equipo de destino, asegúrese de que todo el tráfico de red en el equipo de destino está disponible para el adaptador de red del equipo monitor. Para hacerlo en el Ethernet entorno, conectar el equipo de monitor y el equipo de destino a un concentrador de red. Si los equipos de monitor y de destino están en una red conmutada (por ejemplo, están conectados a un conmutador Ethernet), el tráfico de toda la red a y desde el destino equipo no esté disponible para el equipo de Monitor.

Nota Normalmente, un concentrador presenta todos los paquetes de red a toda la red interfaces (o puertos) y un modificador presenta todos los paquetes al puerto deseado. Modificadores más complejos pueden permitir que las opciones de filtrado de paquetes de multidifusión y avanzadas de puerto a puerto protocolo de puente de red captura y supervisión.

Dirección Databases

Para encontrar y guardar las direcciones del equipo de destino:

Colección de direcciones de post-Capture

1. Si no está visible la captura de red (por ejemplo, si hace clic en Detener en el menú en lugar de Detener y vercaptura o si un desencadenador de captura estaba en vigor), haga clic en Mostrar datos capturados en el menú capturar o presione la tecla F12 para mostrar datos capturados.
2. En el menú presentación, haga clic en Buscar todos los nombres.
3. En el mensaje que indica que un determinado número de nombres se han encontrado en los datos capturados, haga clic en Aceptar.
4. Guardar la base de datos de direcciones como se describe en la sección Saving an Address Database de este artículo.

Guardar una base de datos de direcciones

Archivos de base de datos de direcciones pueden volverse imprecisos si cambia la dirección del equipo de destino. Esto puede ocurrir si la configuración dinámica de host caduca la concesión DHCP (protocolo) o reemplace el adaptador de red. Por tanto, Microsoft recomienda que se guarda las bases de datos de direcciones específicos al Monitor de red captura.

Para guardar la base de datos de direcciones en memoria de Monitor de red a un archivo .adr:

1. En Monitor de red, haga clic en direcciones en el menú captura.
   
   Nota Si el captura: n (resumen) cuadro de diálogo está abierto, no aparece el menú captura.
2. Haga clic en Guardar, escriba un nombre descriptivo en el cuadro nombre de archivo y, a continuación, haga clic en Guardar.

Colección direcciones pre-Capture: Equipo de destino está en la red

1. En Monitor de red, haga clic en Resolver direcciones de nombre en el menú Herramientas.
   
   Nota Este comando sólo está disponible en la versión de Monitor de red que se suministra con Microsoft Systems Management Server (SMS).
2. Escriba el nombre del equipo de destino en la lista nombre y, a continuación, haga clic en resolver.
   
   Dependiendo de la red y configuración de equipo de destino y las opciones de resolución de nombre disponibles, Monitor de red puede enumerar direcciones típicas como Ethernet, TokenRing, IP y IPX/XNS asociada con el equipo de destino.
   • Si se resuelve el nombre, haga clic en Guardar dirección para agregar las direcciones a la base de datos de direcciones en memoria de Monitor de red.
   • Si no se resuelve el nombre y recibe un mensaje "No se encontró la dirección", intente guardar el equipo de destino fuera de la red como se describe en el Pre-Capture Address Collection: Target Computer is off the Network sección de este artículo.
3. Haga clic en Cerrar y, a continuación, guarde la base de datos de direcciones.

Colección direcciones pre-Capture: Equipo de destino está fuera de la red

Para utilizar el siguiente procedimiento, debe conocer la dirección de destino. Microsoft recomienda que utilice la dirección de control (MAC) de acceso a medios del equipo de destino. Filtros de captura establecidos para los protocolos específicos, como IP, podría omitir otro tráfico de protocolo, como IPX/XNS Monitor de red.

1. En el menú captura, haga clic en direcciones y, a continuación, haga clic en Agregar.
2. En el cuadro nombre, escriba el nombre del equipo de destino.
3. Escriba la dirección del equipo de destino en el cuadro dirección, por ejemplo, escriba la dirección IP de 192.247.26.40.
4. En la lista tipo, haga clic en el tipo de dirección que utilizó en el cuadro dirección. Por ejemplo, haga clic en IP.
5. Haga clic en Aceptar para agregar la dirección a la red de base de datos de direcciones en memoria de Monitor.
6. Guardar la base de datos de direcciones.

Filtros de captura

Los ejemplos siguientes ilustran cómo configurar varios filtros de captura comunes. Microsoft recomienda que establezca el filtro el MAC dirección del equipo de destino (como la dirección ETHERNET), si es posible. Filtros de captura establecidos para los protocolos específicos, como IP, hará que Network Monitor para omitir otro tráfico de protocolo, como IPX/XNS.

Capturar todo el tráfico a y desde un equipo de destino

1. En el menú captura, haga clic en filtro.
2. Haga doble clic en la AND (pares de direcciones) nodo.
3. En la lista nombre en Estación 1, haga clic en el nombre del equipo de destino cuyos datos desea recopilar.
4. En dirección, haga clic en <--> y a continuación, haga clic en Aceptar.

Capturar todo el tráfico entre dos Target equipos

1. En el menú captura, haga clic en filtro.
2. Haga doble clic en la AND (pares de direcciones) nodo.
3. En la lista nombre en Estación 1, haga clic en el nombre del equipo de destino cuyos datos desea recopilar.
4. En dirección, haga clic en <-->.
5. En la lista nombre en Estación 2, haga clic en el nombre del otro equipo de destino cuyos datos desea recopilar.
6. Haga clic en Aceptar y, a continuación, haga clic en Aceptar.

Guardar un filtro de captura

Para guardar un filtro de captura de Monitor de red en un archivo. CF:

1. En el menú captura, haga clic en filtro.
2. Haga clic en Guardar, escriba un nombre descriptivo en el cuadro nombre de archivo y, a continuación, haga clic en Guardar.

Búferes de captura

De forma predeterminada, Monitor de red puede guardar la captura de hasta 1 gigabyte (GB). Para cambiar el valor predeterminado de 1 MB, haga clic en búfer configuración en el menú captura del Monitor de red.

• Compruebe que el tamaño del búfer es suficiente para capturar el tráfico de red suficientes. Para determinar una línea de base típica, establecer un filtro de captura adecuada contra un cliente de trabajo y, a continuación, realizar una captura de prueba. Si la captura guardado es el mismo tamaño que la configuración de búfer, se debe agrandar el búfer. Una regla general es aumentar el búfer por un factor de dos.
• Compruebe que la configuración de memoria virtual (archivo de paginación) del equipo monitor puede controlar el tamaño máximo que desea guardar.

Desencadenadores de captura

Normalmente se establecen los desencadenadores de captura para situaciones en las que es difícil impedir al sobrepasar el búfer de captura. Esto suele ocurrir si se cumple alguna de las condiciones siguientes:

• Forma confiable no puede reproducir el problema que está investigando utilizando un procedimiento específico.
• Eficazmente no puede coordinar las acciones en los equipos de monitor y de destino.
• Debe capturar todo el tráfico a y desde un servidor muy cargado. Por ejemplo, debe hacerlo para diagnosticar infracciones de bloqueos de archivo.

Para diseñar un desencadenador de captura, normalmente tiene que derivar un patrón de bytes para un desplazamiento concreto de un paquete de ejemplo. Por ejemplo, el desplazamiento para el SMB 'Error de sistema de código de estado' es diferente para NBT (transporte NetBIOS sobre IP) y SMB alojado en Direct (puerto UPD/TCP 445). En el ejemplo siguiente se muestra cómo establecer un desencadenador de captura se detiene la captura cuando intenta conectarse a un recurso compartido de inexistente en un servidor existente. El ejemplo no contiene los detalles de filtro de captura.

El ejemplo mensaje de error es el código de error Win32 0xC00000CC. El código de error aparece en una captura en el SMB ' código de estado de error de sistema 'campo como' STATUS_BAD_NETWORK_NAME '. Este error se define en Ntstatus.h 'del'. El Kit de desarrollo de software (SDK) de Microsoft incluye esta definición. Para obtener información adicional, visite el siguiente sitio Web de Microsoft:Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

1. En el equipo de monitor:
   1. Inicie a Monitor de red.
   2. En el menú captura, haga clic en el desencadenador.
   3. En el desencadenador en, haga clic en coincidencia de patrón.
   4. En patrón, haga clic en desde el comienzo de la trama y, a continuación, haga clic en Hex.
   5. En el cuadro de desplazamiento (hex), escriba 3f.
   6. En el cuadro trama, escriba cc0000c0
      
      Nota: el patrón de bytes little-endian es equivalente al error DWORD 0xC00000CC.
   7. En Acción de desencadenador, haga clic en Detener captura y, a continuación, haga clic en Aceptar.
   8. En el menú captura, haga clic en iniciar.
2. En el equipo de destino:
   1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
   2. En el cuadro Abrir, escriba \\ servername \ invalid-sharename, donde servername es un nombre de servidor válido y invalid-sharename es el nombre de un recurso compartido que no existe.
   3. Haga clic en Aceptar. En el mensaje que indica que no se encuentra el nombre de red, haga clic en Aceptar
3. En el equipo de monitor:
   1. La captura se detiene automáticamente. En el menú archivo, haga clic en Guardar como.
   2. Escriba un nombre descriptivo para la captura en el cuadro nombre de archivo y, a continuación, haga clic en Guardar.

Solucionar problemas

• Utilizar nombres descriptivos al guardar el tráfico de red capturado..
  
  Cuando se guarda una captura de monitor de red, es útil utilizar un nombre de archivo descriptivo. Por ejemplo:
  Computer1_connect_failure_05_dec_2002.adr
  Aunque un archivo de captura contiene la hora del día, la fecha puede no ser obvias o comprobable, especialmente si se modifica el archivo. Puede que tenga que modificar los archivos de captura durante el análisis. Por ejemplo, el emparejamiento de Server Message Block (SMB) los paquetes de cliente o servidor depende de la dirección MAC. Un enrutador entre un cliente y un equipo servidor, puede oscurecer la dirección MAC. El Monitor de red no puede analizar completamente algunas respuestas en esta situación, por ejemplo distribuido archivo del sistema (DFS) referencia respuestas. Algunas versiones del Monitor de red permiten editar la captura. Como resultado, puede reemplazar la dirección MAC de enrutador con del servidor de destino. Esto permite el SMB analizador para dividir el paquete indicado en un formulario sea más legible.
• Asegúrese de que estén sincronizados los relojes entre equipos..
  
  Para muchos procedimientos de diagnósticos, debe tener un evento o componente de depuración y las trazas de Monitor de red del problema. Para hacer cruzar correctamente referencia a otros archivos de registro con las trazas de Monitor de red, debe tener los relojes sincronizados entre equipos.
• Información de dirección IP la guarde..
  
  Porque la caducidad de la concesión DHCP puede causar cambios a la dirección IP en el cliente de equipos, debe registrar o guardar la dirección IP relevante captura información durante el Monitor de red.
• Intente iniciar la captura antes de que se produzca el problema..
  
  Capturar el tráfico que es necesario y suficiente para documentar un problema. Para ello, debe iniciar una captura antes de hacer la primera conexión entre dos equipos de destino y, a continuación, detenga después de que se produzca el comportamiento del problema. Por ejemplo, con el protocolo SMB, las operaciones de archivo operan contra identificadores. Conocer el nombre de archivo, debe capturar el archivo abierto (o crear) operación.
• Intentar capturar las trazas "éxito" y "failure"..
  
  Si puede, capturar las trazas de donde se produce el problema y donde no se produce. Es mejor capturar estas trazas contra el mismo equipo de destino. Si no puede hacerlo, intentar capturar desde el más cercano posible configuración y el entorno de red que puede crear. Por ejemplo, ambos equipos de destino deben comunicarse con el mismo servidor o el mismo equipo cliente debe comunicarse con servidores configurados de forma similar.
• Acciones de documento que generan el tráfico de red significativo..
  
  Documentar las acciones que realizar en el destino de los equipos para generar el tráfico de red significativo. Por ejemplo, en una IP entorno puede simplificar la referencia cruzada de la captura de actividad de usuario, actividad de programa o actividad de archivo por lotes. Para ello, ejecutar comandos de ping de una sola vez para una dirección IP única justo antes de las actividades y, a continuación, después de las actividades.

Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base: Para obtener información adicional acerca de la utilidad de captura de Monitor de red incluida con Windows XP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: