Comment utiliser le Moniteur réseau pour capturer le trafic réseau

Traductions disponibles Traductions disponibles
Numéro d'article: 812953 - Voir les produits auxquels s'applique cet article
Avertissement
Cet article s'applique à Windows 2000. Le support de Windows 2000 se termine le 13 juillet 2010. Le Centre de solutions de fin de Support Windows 2000 est un point de départ pour la planification de votre stratégie de migration à partir de Windows 2000. Pour plus d'informations, consultez le Politique de Support Microsoft.
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit plusieurs méthodes conseillées à utiliser lors vous utilisez le Moniteur réseau (Netmon.exe) Microsoft pour capturer le trafic réseau.

Une trace réseau qui possède l'une des caractéristiques suivantes peuvent empêcher l'analyse réussie de la capture du trafic réseau :
  • La trace de réseau ne contient-elle pas tous les besoins trafic réseau.
  • Il contient trop inutiles sur le réseau trafic.
  • Il ne s'accompagne pas d'adresse et le nom de l'ordinateur informations sur les ordinateurs affectés.

Définitions

Les définitions suivantes sont utilisées dans cet article :
  • Capturer (ou Trace): le trafic réseau collectés et enregistrés à l'aide de Microsoft Moniteur réseau (Netmon.exe).
  • Ordinateur de moniteur: l'ordinateur qui exécute le Moniteur réseau.
  • Ordinateur cible: un ordinateur dont le réseau du trafic Netmon.exe capture.
  • Adresse cible: l'adresse de protocole spécifique de l'ordinateur cible.

Mise à disposition le trafic d'ordinateur cible à l'ordinateur de moniteur

Si vous n'exécutez pas le Moniteur réseau sur l'ordinateur cible, Assurez-vous que tout le trafic réseau à partir de l'ordinateur cible est disponible pour la carte réseau de l'ordinateur de moniteur. Pour le faire dans le réseau Ethernet environnement, connectez l'ordinateur de moniteur et l'ordinateur cible pour un concentrateur réseau. Si les ordinateurs cible et de moniteur sont sur un réseau commuté (pour exemple, ils sont connectés à un commutateur Ethernet), tout le trafic réseau pour et de la cible ordinateur peut-être pas disponible sur l'ordinateur de moniteur.

Remarque : En règle générale, un concentrateur présente tous les paquets réseau à tous les Network interfaces (ou ports), et un commutateur présente tous les paquets à la port de destination. Commutateurs plus complexes peuvent autoriser des options de paquet de multidiffusion filtrage et le pontage port-port avancé pour les captures réseau et la surveillance.

Bases de données adresse

Pour rechercher et enregistrer les adresses d'ordinateur cible :

Collection d'adresses post-Capture

  1. Si la capture réseau n'est pas visible (par exemple, si vous Cliquez sur Arrêter sur la Capture menu au lieu deArrêter et afficherou si un déclencheur de capture a été en vigueur), cliquez surAfficher les données capturées sur la Capture menu ou Appuyez sur la touche F12 pour afficher les données capturées.
  2. Sur la Affichage menu, cliquez sur Rechercher Tous les noms.
  3. Dans le message indiquant qu'un certain nombre de noms ont été trouvé dans les données capturées, cliquez sur OK.
  4. Enregistrer la base de données adresse, comme décrit dans laL'enregistrement d'une base de données adresse section de cet article.

L'enregistrement d'une base de données adresse

Fichiers de base de données d'adresses peuvent devenir inexacts si la cible modification d'adresse ordinateur. Cela peut se produire si la Configuration d'hôte dynamique Expiration du bail DHCP (Protocol) ou vous remplacez la carte réseau. Par conséquent, Microsoft vous recommande d'enregistrer les bases de données de l'adresse spécifiques au réseau Capture d'écran.

Pour enregistrer l'adresse en mémoire de moniteur réseau base de données vers un fichier .adr :
  1. Dans le Moniteur réseau, cliquez sur Adresses sur laCapture menu.

    Remarque : Si le Capture : n(Résumé) boîte de dialogue est ouverte, le Capture menu de s'affiche pas.
  2. Cliquez sur Enregistrer, tapez un nom descriptif dans laNom de fichier zone, puis cliquez surEnregistrer.

Collection d'adresses pre-Capture : L'ordinateur cible est sur le réseau

  1. Dans le Moniteur réseau, cliquez sur Résoudre les adresses à partir de Nom sur la Outils menu.

    Remarque : Cette commande est uniquement disponible dans la version du Moniteur réseau fourni avec Microsoft Systems Management Server (SMS).
  2. Entrez le nom de l'ordinateur cible dans laNom liste, puis cliquez surRésoudre.

    En fonction de l'ordinateur du réseau et la cible configuration et les options de résolution de nom disponible, le Moniteur réseau peut liste des adresses telles que Ethernet, Token Ring, IP et IPX/XNS sont typiques associé à l'ordinateur cible.
    • Si le nom est résolu, cliquez sur Enregistrer Adresse Pour ajouter les adresses à l'adresse en mémoire de moniteur réseau base de données.
    • Si le nom n'est pas résolu et que vous recevez un Message « Adresse introuvable », essayez d'enregistrer l'ordinateur cible sur le réseau en tant que décrit dans le Adresse pre-Capture Collection : L'ordinateur cible est déconnecté du réseau section de ce article.
  3. Cliquez sur Fermer, puis enregistrez l'adresse base de données.

Collection d'adresses pre-Capture : L'ordinateur cible est déconnecté du réseau

Pour utiliser la procédure suivante, vous devez connaître l'adresse cible. Microsoft vous recommande d'utiliser l'adresse media access control (MAC) de la ordinateur cible. Filtres de capture définie pour des protocoles spécifiques, tels qu'IP, peuvent entraîner le Moniteur réseau ignorer les autres trafics de protocole, tels que IPX/XNS.
  1. Sur la Capture menu, cliquez surAdresses, puis cliquez sur Ajouter.
  2. Dans le Nom Tapez le nom de la ordinateur cible.
  3. Tapez l'adresse de l'ordinateur cible dans laAdresse zone, par exemple, tapez l'adresse IP de192.247.26.40.
  4. Dans le Type Cliquez sur le type de adresse que vous avez utilisé dans le Adresse zone. Par exemple, cliquez surIP.
  5. Cliquez sur OK Pour ajouter l'adresse au réseau Surveiller la base de données de l'adresse en mémoire.
  6. Enregistrer la base de données adresse.

Filtres de capture

Les exemples suivants montrent comment configurer plusieurs commun filtres de capture. Microsoft recommande de définir le filtre pour MAC adresse de l'ordinateur cible (par exemple, l'adresse ETHERNET), si possible. Jeu de filtres de capture pour des protocoles spécifiques, tels qu'IP, entraînera le réseau Moniteur pour ignorer les autre le trafic du protocole, tels que IPX/XNS.

Capturer tout le trafic vers et à partir d'un ordinateur cible

  1. Sur la Capture menu, cliquez surFiltre.
  2. Double-cliquez sur le ET (paires d'adresses)n?ud.
  3. Dans le Nom liste sous Station 1, cliquez sur le nom de l'ordinateur cible dont vous souhaitez les données collecter.
  4. Sous Direction, cliquez sur<--></-->, puis cliquez sur OK.

Capturer tout le trafic entre deux ordinateurs cibles

  1. Sur la Capture menu, cliquez surFiltre.
  2. Double-cliquez sur le ET (paires d'adresses)n?ud.
  3. Dans le Nom liste sous Station 1, cliquez sur le nom de l'ordinateur cible dont vous souhaitez les données collecter.
  4. Sous Direction, cliquez sur<--></-->.
  5. Dans le Nom liste sous Station 2, cliquez sur le nom de l'autre ordinateur cible dont vous souhaitez les données collecter.
  6. Cliquez sur OK, puis cliquez surOK.

L'enregistrement d'un filtre de Capture

Pour enregistrer un filtre de capture du Moniteur réseau dans un fichier .cf :
  1. Sur la Capture menu, cliquez surFiltre.
  2. Cliquez sur Enregistrer, tapez un nom descriptif dans laNom de fichier zone, puis cliquez sur Enregistrer.

Mémoires tampons de capture

Par défaut, le Moniteur réseau peut enregistrer des captures de jusqu'à 1 gigaoctet (GO). Pour modifier le paramètre par défaut de 1 Mo, cliquez sur Mémoire tampon Paramètres sur le Moniteur réseau Capture menu.
  • Vérifiez que la taille du tampon est suffisante pour capturer trafic réseau suffisante. Pour déterminer une planification par défaut, la valeur appropriée filtre contre un client de travail de capture et ensuite effectuer une capture de test. If la capture enregistré est la même taille que le paramètre de mémoire tampon, vous devez effectuer le mémoire tampon plus grande. Une règle générale consiste à augmenter la mémoire tampon par un facteur de deux.
  • Vérifiez que les paramètres de mémoire virtuelle (fichier d'échange) de l'ordinateur de l'analyseur peut gérer la taille maximale que vous souhaitez Enregistrer.

Déclencheurs de capture

Capturer les déclencheurs sont généralement définies pour les situations où il est Il est difficile d'empêcher de saturer le tampon de capture. Cela se produit fréquemment Si une des conditions suivantes est remplie :
  • Vous ne pouvez pas reproduire fiable le problème que vous êtes étudie à l'aide d'une procédure spécifique.
  • Vous ne pouvez pas efficacement coordonner des actions sur le serveur moniteur et les ordinateurs cibles.
  • Vous devez capturer tout le trafic vers et à partir d'une grande partie serveur chargé. Par exemple, vous devez le faire pour diagnostiquer le verrouillage de fichier violations.
Pour concevoir un déclencheur de capture, vous devez généralement dériver d'un octet modèle pour un offset particulier à partir d'un exemple de paquet. Par exemple, le décalage pour le PME/PMI « Erreur de système d'état Code » est différent de NBT (NetBIOS Transport sur IP) et l'hébergement Direct SMB (port TCP/UDP 445). L'exemple suivant montre comment définir un déclencheur de capture qui arrête la capture lorsque vous essayez de vous connecter à un partage non-existent sur un serveur existant. L'exemple ne contient-elle aucun Détails du filtre de capture.

L'exemple de message d'erreur est l'erreur WIN32 code 0xC00000CC. Le code d'erreur s'affiche dans une capture dans SMB ' le Code d'état Erreur système ' champ « STATUS_BAD_NETWORK_NAME ». Cette erreur est définie dans « ntstatus.h ». Le Kit de développement logiciel (SDK) Microsoft inclut ce définition de. Pour plus d'informations, visitez le site Web de Microsoft à l'adresse suivante :
http://www.Microsoft.com/msdownload/platformsdk/sdkupdate/
Pour plus d'informations, cliquez sur le numéro d'article suivant pour afficher l'article correspondant dans la Base de connaissances Microsoft :
113996INFO : Mappage des Codes d'erreur NT état aux Codes d'erreur Win32
  1. Sur l'ordinateur de moniteur :
    1. Démarrez le Moniteur réseau.
    2. Sur la Capture menu, cliquez sur Déclencheur.
    3. Sous Le déclencheur sur, cliquez sur Correspondance au modèle.
    4. Sous Modèle, cliquez sur À partir de Début de la trame, puis cliquez sur Hex.
    5. Dans le Décalage (Hex) zone, tapez 3F.
    6. Dans le Modèle zone, tapez cc0000c0

      Remarque: le modèle d'octet little-endian est équivalent à l'erreur DWORD 0xC00000CC.
    7. Sous Action de déclencheur, cliquez sur Arrêter la Capture, puis cliquez sur OK.
    8. Sur la Capture menu, cliquez sur Démarrer.
  2. Sur l'ordinateur cible :
    1. Cliquez sur Démarrer, puis cliquez sur Exécuter.
    2. Dans le Ouvrir zone, tapez \\nom du serveur\non valide-nom de partage, où nom du serveur est un nom de serveur valide et où non valide-nom de partage est le nom d'un inexistant partager.
    3. Cliquez sur OK. Sur le message qui indique que le nom du réseau ne peut pas être trouvé, cliquez sur OK
  3. Sur l'ordinateur de moniteur :
    1. La capture s'arrête automatiquement. Sur la Fichier menu, cliquez sur Enregistrer en tant que.
    2. Tapez un nom descriptif pour la capture dans le Nom de fichier zone, puis cliquez sur Enregistrer.

Résoudre les problèmes

  • Utiliser des noms descriptifs lorsque vous enregistrez la capture du trafic réseau..

    Lorsque vous enregistrez une capture du Moniteur réseau, il est utile Pour utiliser un nom descriptif. Par exemple :
    Computer1_connect_failure_05_dec_2002.adr
    Bien qu'un fichier de capture contient l'heure du jour, la date ne peut pas être évidente ou vérifiable, en particulier si le fichier est modifié. Vous devrez peut-être modifier les fichiers de capture lors de l'analyse. Par exemple, l'appariement du serveur Message Block (SMB) client ou serveur de paquets dépend de l'adresse MAC. A routeur entre un client et un ordinateur serveur peut cacher l'adresse MAC. Le Moniteur réseau n'analyse pas complètement certaines réponses dans ce cas, pour réponses de redirection DFS (système) exemple Distributed fichier. Certaines versions de Le Moniteur réseau vous permet de modifier la capture. Par conséquent, vous pouvez remplacer l'adresse MAC de routeur avec celui du serveur cible. Ainsi, le PME/PMI Analyseur pour rompre le paquet indiqué dans un format plus lisible.
  • Vous assurer que les horloges sont synchronisées entre ordinateurs..

    Pour de nombreuses procédures de diagnostic, vous devez disposer d'un événement ou composant de débogage et les traces du Moniteur réseau du problème. Pour correctement référence entre les autre fichiers journaux avec les traces du Moniteur réseau, vous doivent avoir les horloges synchronisées entre ordinateurs.
  • Informations d'adresse IP de l'enregistrer..

    Étant donné que l'adresse IP peut provoquer l'expiration du bail DHCP modifications sur les ordinateurs clients, vous devez enregistrer ou enregistrer l'adresse IP appropriée informations pendant le Moniteur réseau capture.
  • Essayez de démarrer la capture avant que le problème se produit..

    Capturer le trafic qui est nécessaire et suffisante pour documenter un problème. Pour ce faire, vous devez démarrer une capture avant d'effectuer le première connexion entre deux ordinateurs cibles et l'arrêter puis après le problème se produit. Par exemple, avec le protocole SMB, opérations de fichier fonctionnent sur les poignées. Pour connaître le nom de fichier, vous devez capturer le fichier ouvert (ou créez) opération.
  • Essaie de capturer des traces « success » et "Échec"..

    Si vous pouvez, capturez les traces où le problème se produit et où il ne se produit pas. Il est préférable de capturer ces traces par rapport à la même ordinateur cible. Si vous ne pouvez pas faire, effectuez une capture à partir de la plus proche environnement de réseau et de configuration possible que vous pouvez créer. Pour exemple, les deux ordinateurs cibles doivent communiquer avec le même serveur, ou le même ordinateur client doit communiquer avec configuré de la même façon serveurs.
  • Document actions qui génèrent du trafic réseau important..

    Documenter les actions que vous effectuez sur la cible ordinateurs pour générer du trafic réseau important. Par exemple, dans une adresse IP environnement vous pouvez de simplifier la référence de la capture à l'utilisateur activité, activité de programme ou activité du fichier de lot. Pour ce faire, exécuter des commandes de ponctuel ping à une adresse IP unique juste avant les activités, et puis, après les activités.


Références

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants de la Base de connaissances Microsoft.
810156Message d'erreur « Aucun pilote de réseau a été trouvé » après l'installation du Moniteur réseau
261327 Comment ajouter un analyseur supplémentaire au Moniteur réseau
164961 Installation de la Version précédente ne trouve pas de programme d'installation du Moniteur réseau
Pour plus d'informations sur le réseau Surveiller l'utilitaire de Capture fourni avec Windows XP, cliquez sur l'article suivant numéro pour afficher l'article correspondant dans la Base de connaissances Microsoft :
310875Description de l'utilitaire de Capture du Moniteur réseau


Propriétés

Numéro d'article: 812953 - Dernière mise à jour: lundi 11 février 2013 - Version: 4.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbhowtomaster kbmt KB812953 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 812953
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com