Como utilizar o Monitor de rede para capturar tráfego de rede

Este artigo aborda vários procedimentos recomendados para utilizar quando utilizar o Microsoft Network Monitor (Netmon.exe) para capturar tráfego de rede.

Um rastreio de rede que tenha qualquer uma das seguintes características poderá impedir que a análise do tráfego de rede capturados com êxito:

• O rastreio de rede não contém todo o tráfego rede necessários.
• Contém demasiado tráfego de rede desnecessário.
• Não é acompanhado por informações de nome e endereço de computador dos computadores afectados.

Definições

As definições seguintes são utilizadas neste artigo:

• Capturar (ou Analisar): O tráfego de rede recolhidas e guardadas utilizando o Microsoft Network Monitor (Netmon.exe).
• Monitor de computador: O computador que executa o Monitor de rede.
• Computador de destino: computador cuja rede tráfego Netmon.exe captura.
• Endereço de destino: O endereço de protocolo específico do computador de destino.

Tornando o tráfego de computador de destino disponíveis para o computador de monitor

Se não estiver a executar o Monitor de rede no computador de destino, certifique-se de que todo o tráfego de rede a partir do computador de destino está disponível para a placa de rede do computador monitor. Para o fazer o Ethernet ambiente, ligar o computador de monitor e o computador de destino a um concentrador de rede. Se os computadores de monitor e de destino estiverem numa rede comutada (por exemplo, são ligados a um comutador Ethernet), todos os do tráfego de rede para e de destino computador pode não estar disponível para o computador de monitor.

Nota Normalmente, um concentrador apresenta todos os pacotes de rede para todos os a rede interfaces (ou portas) e um comutador apresenta todos os pacotes para a porta pretendida. Parâmetros mais complexos podem permitir opções de filtragem de pacotes de multicast e avançadas porta a porta bridging de rede captura e monitorização.

Bases de dados de endereço

Para localizar e guardar os endereços de computador de destino:

Conjunto de endereços post-Capture

1. Se a captura de rede não estiver visível (por exemplo, se clicar em Parar no menu capturar em vez de parar e ver ou se um accionador de captura estava em força), clique em Mostrar dados capturados no menu capturar ou prima a tecla F12 para apresentar dados capturados.
2. No menu Mostrar, clique em Localizar todos os nomes.
3. Na mensagem indicando que um determinado número de nomes foram encontrado nos dados capturados, clique em OK.
4. Guarde a base de dados de endereços como descrito na secção a Saving an Address Database deste artigo.

Guardar uma base de dados de endereços

Ficheiros de base de dados de endereços poderão tornar-se incorrectos se o endereço do computador de destino for alterado. Isto pode ocorrer se o Dynamic Host Configuration Protocol (DHCP) concessão expira ou substituir a placa de rede. Por conseguinte, a Microsoft recomenda que guarde bases de dados de endereços específicos para o Monitor de rede captura.

Para guardar a base de dados de endereços de memória no Monitor de rede para um ficheiro .adr:

1. No Monitor de rede, clique em ' endereços ' no menu de captura.
   
   Nota Se o captura: n (resumo) caixa de diálogo estiver aberta, no menu capturar não é apresentado.
2. Clique em Guardar, escreva um nome descritivo na caixa nome do ficheiro e, em seguida, clique em Guardar.

Pre-Capture conjunto de endereços: Computador de destino está na rede

1. No Monitor de rede, clique em Resolver endereços de nome no menu Ferramentas.
   
   Nota Este comando só está disponível na versão do Monitor de rede fornecidas com o Microsoft Systems Management Server (SMS).
2. Introduza o nome do computador de destino na lista nome e, em seguida, clique em resolver.
   
   Dependendo da rede e configuração do computador de destino e as opções de resolução de nome disponíveis, o Monitor de rede poderá listar endereços normais como, por exemplo, Ethernet, tokenização, IP e IPX/XNS que estão associadas com o computador de destino.
   • Se o nome for resolvido, clique em Guardar endereços para adicionar os endereços à base de dados de endereços de memória no Monitor de rede.
   • Se o nome não é resolvido e receber uma mensagem "Endereço não encontrado", tentar guardar o computador de destino fora da rede, tal como descrito no Pre-Capture Address Collection: Target Computer is off the Network secção deste artigo.
3. Clique em Fechar e, em seguida, guarde a base de dados de endereços.

Pre-Capture conjunto de endereços: Computador de destino está desligado da rede

Para utilizar o seguinte procedimento, tem de conhecer o endereço de destino. A Microsoft recomenda que utilize o endereço de controlo (MAC) de acesso de suporte de dados do computador de destino. Filtros de captura definido para protocolos específicos, como, por exemplo, o IP, podem fazer com que o Monitor de rede para ignorar o outro tráfego de protocolo como, por exemplo, IPX/XNS.

1. No menu capturar, clique em endereços e, em seguida, clique em Adicionar.
2. Na caixa nome, escreva o nome do computador de destino.
3. Escreva o endereço do computador de destino na caixa endereço, por exemplo, escreva o endereço IP de 192.247.26.40.
4. Na lista tipo, clique no tipo de endereço que utilizou na caixa endereço. Por exemplo, clique em IP.
5. Clique em OK para adicionar o endereço de rede base de dados de endereços de memória de monitor.
6. Guarde a base de dados de endereços.

Filtros de captura

Os exemplos seguintes ilustram como configurar vários filtros de captura comuns. A Microsoft recomenda que configure o filtro para o MAC endereço do computador de destino (tal como o endereço ETHERNET), se possível. Filtros de captura definido para protocolos específicos, como, por exemplo, o IP, fará com que Network Monitor para outro tráfego de protocolo, tais como o IPX/XNS ignorar.

Capturar todo o tráfego de e para um computador de destino

1. No menu capturar, clique em filtrar.
2. Faça duplo clique sobre o AND (pares de endereços) nó.
3. Na lista nome em Estação 1, clique no nome do computador de destino cujos dados pretende recolher.
4. Em direcção, clique em <--> e, em seguida, clique em OK.

Capturar todos os tráfego entre dois destino computadores

1. No menu capturar, clique em filtrar.
2. Faça duplo clique sobre o AND (pares de endereços) nó.
3. Na lista nome em Estação 1, clique no nome do computador de destino cujos dados pretende recolher.
4. Em direcção, clique em <-->.
5. Na lista nome em Estação 2, clique no nome do outro computador de destino cujos dados pretende recolher.
6. Clique em OK e, em seguida, clique em OK.

Guardar um filtro de captura

Para guardar um filtro de captura do Monitor de rede para um ficheiro .cf:

1. No menu capturar, clique em filtrar.
2. Clique em Guardar, escreva um nome descritivo na caixa nome do ficheiro e, em seguida, clique em Guardar.

Memórias intermédias de captura

Por predefinição, o Monitor de rede pode guardar capturas de até 1 gigabyte (GB). Para alterar a predefinição de 1 MB, clique em Buffer definições no menu de monitor de rede captura.

• Verifique se o tamanho da memória intermédia é suficiente para capturar tráfego de rede suficientes. Para determinar um plano base típico, definir um filtro de captura adequada contra um cliente de trabalho e, em seguida, efectue uma captura de teste. Se captura guardado é o mesmo tamanho que a definição de memória intermédia, terá de efectuar a memória intermédia maior. Uma regra geral é aumentar a memória intermédia por um factor de dois.
• Certifique-se de que as definições da memória virtual (ficheiro de paginação) do monitor de computador podem processar o tamanho máximo que pretende guardar.

Accionadores de captura

Accionadores de captura são normalmente definidos para situações em que é difícil evitar sobrecarregar a memória intermédia de captura. Isto ocorre frequentemente se qualquer uma das seguintes condições for verdadeira:

• Forma fiável não consegue reproduzir o problema que está a investigar utilizando um procedimento específico.
• Eficazmente não é possível coordenar acções em computadores monitor e de destino.
• É necessário capturar todo o tráfego de e para um servidor muito carregado. Por exemplo, terá de o fazer para diagnosticar violações de protecção de ficheiro.

Para estruturar um accionador de captura, normalmente, tem de derivar um padrão de byte num desfasamento específico de um pacote de exemplo. Por exemplo, o deslocamento para o SMB 'Erro de sistema de código de estado' é diferente para NBT (NetBIOS Transport através de IP) e SMB alojado directo (porta 445 do TCP/UDP). O exemplo seguinte mostra como definir um accionador de captura pára a captura quando tenta ligar a uma partilha inexistente num servidor existente. O exemplo não contém quaisquer detalhes do filtro de captura.

A mensagem de erro de exemplo é o código de erro Win32 0xC00000CC. O código de erro aparece numa captura no SMB ' código de estado de erro de sistema 'campo como' STATUS_BAD_NETWORK_NAME '. Este erro é definido no 'ntstatus.h'. O Microsoft Software Development Kit (SDK) inclui esta definição. Para obter informações adicionais, visite o seguinte site da Microsoft:Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:

1. No computador monitor:
   1. Inicie o Monitor de rede.
   2. No menu capturar, clique em accionador.
   3. Em accionador no, clique em corresponder ao padrão.
   4. Em padrão, clique em de início do pacote e, em seguida, clique em hexadecimal.
   5. Na caixa de deslocamento (hex), escreva 3f.
   6. Na caixa padrão, escreva cc0000c0
      
      Nota: O padrão de byte little-endian é equivalente ao erro DWORD 0xC00000CC.
   7. Em Acção de accionador, clique em Parar captura e, em seguida, clique em OK.
   8. No menu capturar, clique em Iniciar.
2. No computador de destino:
   1. Clique em Iniciar e, em seguida, clique em Executar.
   2. Na caixa Abrir, escreva \\ servername \ invalid-sharename, onde servername é um nome de servidor válido e onde invalid-sharename é o nome de uma partilha inexistente.
   3. Clique em OK. Na mensagem que indica que não foi possível localizar o nome de rede, clique em OK
3. No computador monitor:
   1. A captura pára automaticamente. No menu ficheiro, clique em Guardar como.
   2. Escreva um nome descritivo para a captura na caixa nome do ficheiro e, em seguida, clique em Guardar.

Resolução de problemas

• Utilizar nomes descritivos quando guarda o tráfego de rede capturado..
  
  Quando guardar uma captura do monitor de rede, é útil utilizar um nome de ficheiro descritivo. Por exemplo:
  Computer1_connect_failure_05_dec_2002.adr
  Embora um ficheiro de captura contenha a hora do dia, a data poderá não ser óbvios ou verificável, particularmente se o ficheiro for modificado. Poderá ter de modificar os ficheiros de captura durante a análise. Por exemplo, o emparelhamento de servidor SMB (bloco Message) cliente ou servidor pacotes depende o endereço MAC. Um router entre um cliente e um computador servidor poderão obscurecer o endereço MAC. O Monitor de rede não poderá analisar totalmente algumas respostas nesta situação, por exemplo distribuído ficheiro de sistema (DFS) referência respostas. Algumas versões do Monitor de rede permitem editar a captura. Como resultado, pode substituir o endereço MAC do router com que o servidor de destino. Isto permite que o SMB analisador para dividir o pacote indicado num formulário mais legível.
• Certifique-se de que os relógios são sincronizados entre computadores..
  
  Para muitos procedimentos de diagnósticos, tem de ter um evento ou componente de depuração e rastreios do Monitor de rede do problema. Para referência cross com êxito a outros ficheiros de registo com os rastreios do Monitor de rede, tem de ter os relógios sincronizados entre computadores.
• Guardar o IP endereço informações..
  
  Porque expiração de concessão DHCP poderá causar alterações de endereço IP no cliente de computadores, tem de gravar ou guardar o endereço IP relevante informações durante o Monitor de rede captura.
• Tentar iniciar a captura antes do problema ocorre..
  
  Capture o tráfego que é necessário e suficiente para um problema do documento. Para o fazer, tem de iniciar uma captura para fazer a primeira ligação entre dois computadores de destino e, em seguida, pare-o depois de ocorre o comportamento do problema. Por exemplo, com o protocolo SMB, operações de ficheiros funcionam contra alças. Para saber o nome de ficheiro, deve abrir o ficheiro de captura (ou criar) operação.
• Tentar capturar rastreios "êxito" e "Falha"..
  
  Se possível, capturar rastreios onde ocorre o problema e onde não ocorre. É melhor capturar estes rastreios contra o mesmo computador de destino. Se não consegue fazer, tente capturar do ambiente de rede que pode criar e mais próxima possível configuração. Por exemplo, ambos os computadores de destino devem comunicar com o mesmo servidor ou o mesmo computador cliente deve comunicar com servidores configurados da mesma forma.
• Acções de documento que geram o tráfego de rede significativo..
  
  Documentar as acções que efectuar no destino computadores para gerar o tráfego de rede significativo. Por exemplo, numa IP ambiente pode simplificar de referência cruzada da captura a actividade de utilizador, actividade do programa ou a actividade do ficheiro batch. Para o fazer, execute comandos ocasional ping a um endereço IP exclusivo antes das actividades e, em seguida, após as actividades.

Para obter mais informações, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft: Para obter informações adicionais sobre o utilitário de captura do Monitor de rede incluído no Windows XP, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft: