Como usar o Monitor de rede para capturar o tráfego de rede

Este artigo aborda várias práticas recomendadas para usar quando usar o Microsoft Network Monitor (Netmon.exe) para capturar o tráfego de rede.

Um rastreamento de rede que tenha qualquer uma das seguintes características pode evitar que a análise do tráfego de rede capturado bem-sucedida:

• O rastreamento de rede não contém todo o tráfego de rede necessários.
• Ele contém muito tráfego de rede desnecessários.
• Não é acompanhado por informações de nome e endereço de computador dos computadores afetados.

Definições

As definições a seguir são usadas neste artigo:

• Capturar (ou Rastrear): O tráfego de rede coletadas e salvo usando o Microsoft Network Monitor (Netmon.exe).
• Monitorar computador: O computador que executa o Monitor de rede.
• Computador de destino: um computador cujo rede tráfego Netmon.exe captura.
• Endereço de destino: O endereço de protocolo específicas do computador de destino.

Disponibilizando o tráfego do computador de destino para o computador de monitor

Se você não está executando o Monitor de rede no computador de destino, certifique-se de que todo o tráfego de rede do computador de destino está disponível para o adaptador de rede do computador monitor. Para isso o Ethernet ambiente, conectar o computador de monitor e o computador de destino para um concentrador de rede. Se os computadores de monitor e destino estão em uma rede comutada (por exemplo, são conectados a um switch Ethernet), todo o tráfego de rede para e de destino computador pode não estar disponível para o computador de monitor.

Observação Normalmente, um hub apresenta todos os pacotes de rede para todos os rede interfaces (ou portas) e um comutador apresenta todos os pacotes para a porta pretendido. Switches mais complexas podem permitir opções de filtragem de pacote de difusão seletiva e porta para a porta ponte de rede captura e monitoramento avançados.

Endereço Databases

Para localizar e salvar os endereços de computador de destino:

Coleção de endereços post-Capture

1. Se a captura de rede não estiver visível (por exemplo, se você clicar em Parar no menu capturar em vez de Parar e exibir ou se um disparador de captura estava em vigor), clique em Exibir dados capturados no menu capturar ou pressione a tecla F12 para exibir dados capturados.
2. No menu Exibir, clique em Localizar nomes tudo.
3. Na mensagem informando que um determinado número de nomes foram encontrado os dados capturados, clique em OK.
4. Salve o banco de dados de endereços como descrito na seção Saving an Address Database deste artigo.

Salvar um banco de dados de endereços

Arquivos de banco de dados de endereços podem se tornar imprecisos se altera o endereço do computador de destino. Isso pode ocorrer se o DHCP expira de concessão DHCP (Protocol) ou substituir o adaptador de rede. Portanto, a Microsoft recomenda que você salvar bancos de dados de endereços específicos para o Monitor de rede captura.

Para salvar o banco de dados de endereço na memória do Network Monitor para um arquivo .adr:

1. No Monitor de rede, clique em endereços no menu capturar.
   
   Observação Se o captura: n (Resumo) caixa de diálogo está aberta, no menu capturar não aparece.
2. Clique em Salvar, digite um nome descritivo na caixa nome do arquivo e clique em Salvar.

Coleção endereços pre-Capture: Computador de destino está na rede

1. No Monitor de rede, clique em Resolver endereços de nome no menu Ferramentas.
   
   Observação Este comando só está disponível na versão do Monitor de rede fornecidas com o Microsoft Systems Management Server (SMS).
2. Insira o nome do computador de destino na lista nome e clique em resolver.
   
   Dependendo da rede e configuração do computador de destino e as opções de resolução de nome disponíveis, o Network Monitor pode listar endereços típicos como Ethernet, Token Ring, IP e IPX/XNS estão associados com o computador de destino.
   • Se o nome for resolvido, clique em Salvar endereço para adicionar os endereços para o banco de dados de endereço na memória do Network Monitor.
   • Se o nome não for resolvido, e você receber uma mensagem "Endereço não encontrado", tente salvar o computador de destino fora da rede conforme descrito no Pre-Capture Address Collection: Target Computer is off the Network seção deste artigo.
3. Clique em Fechar e salvar o banco de dados de endereços.

Coleção endereços pre-Capture: Computador de destino está logoff da rede

Para usar o procedimento a seguir, você deve saber o endereço de destino. A Microsoft recomenda usar o endereço de controle (MAC) de acesso à mídia do computador de destino. Filtros de captura definidos para protocolos específicos, como IP, podem causar o Monitor de rede para outro tráfego de protocolo, como IPX/XNS ignorar.

1. No menu capturar, clique em endereços e clique em Adicionar.
2. Na caixa nome, digite o nome do computador de destino.
3. Digite o endereço do computador de destino na caixa endereço, por exemplo, digite o endereço IP de 192.247.26.40.
4. Na lista tipo, clique no tipo de endereço usado na caixa endereço. Por exemplo, clique em IP.
5. Clique em OK para adicionar o endereço para o Network Monitor banco de dados de endereço na memória.
6. Salve o banco de dados de endereços.

Filtros de captura

Os exemplos a seguir ilustram como configurar vários filtros de captura comuns. A Microsoft recomenda definir o filtro para o MAC endereço do computador de destino (como o endereço de ETHERNET), se possível. Filtros de captura definidos para protocolos específicos, como IP, causará o Network Monitor para outro tráfego de protocolo, como IPX/XNS ignorar.

Capturar todo o tráfego para e partir de um computador de destino

1. No menu capturar, clique em filtro.
2. Clique duas vezes o AND (pares de endereços) nó.
3. Na lista Name em Estação 1, clique no nome do computador de destino cujos dados você deseja coletar.
4. Em Direction, clique em <--> e clique em OK.

Capturar todo tráfego entre dois Target computadores

1. No menu capturar, clique em filtro.
2. Clique duas vezes o AND (pares de endereços) nó.
3. Na lista Name em Estação 1, clique no nome do computador de destino cujos dados você deseja coletar.
4. Em Direction, clique em <-->.
5. Na lista Name em Estação 2, clique no nome do outro computador de destino cujos dados você deseja coletar.
6. Clique em OK e, em seguida, clique em OK.

Salvar um filtro de captura

Para salvar um filtro de captura do Monitor de rede para um arquivo .cf:

1. No menu capturar, clique em filtro.
2. Clique em Salvar, digite um nome descritivo na caixa nome do arquivo e clique em Salvar.

Buffers de captura

Por padrão, o Network Monitor pode salvar capturas de até 1 gigabyte (GB). Para alterar a configuração padrão de 1 MB, clique em buffer configurações no menu Network Monitor captura.

• Verifique se o tamanho do buffer é suficiente para capturar o tráfego de rede suficientes. Para determinar uma linha de base típica, definir um filtro de captura apropriada contra um cliente de trabalho e executar uma captura de teste. Se o mesmo tamanho que a configuração de buffer de captura salvo, você deve tornar o buffer maior. Uma regra geral é aumentar o buffer por um fator de dois.
• Verifique se que as configurações de memória virtual (arquivo de paginação) do computador monitor podem manipular o tamanho máximo que você deseja salvar.

Disparadores de captura

Disparadores de captura normalmente são definidos para situações em que é difícil manter de saturar o buffer de captura. Freqüentemente, isso ocorre se qualquer uma das seguintes condições for verdadeira:

• Confiável, você não pode reproduzir o problema que você está investigando usando um procedimento específico.
• Você não pode coordenar efetivamente ações em computadores de monitor e de destino.
• Você deve capturar todo o tráfego de e para um servidor muito carregado. Por exemplo, você deve fazer isso para diagnosticar violações de bloqueio de arquivo.

Para criar um disparador de captura, você normalmente têm derivar um padrão de byte para um deslocamento específico de um pacote de exemplo. Por exemplo, o deslocamento para o SMB 'Erro de sistema do código de status' é diferente para NBT (transporte NetBIOS sobre IP) e SMB hospedado Direct (TCP/UPD porta 445). O exemplo a seguir mostra como definir um disparador de captura pára a captura quando tentar se conectar a um compartilhamento inexistentes em um servidor existente. O exemplo não contém quaisquer detalhes do filtro de captura.

A mensagem de erro do exemplo é o código de erro Win32 0xC00000CC. O código de erro aparece na captura no SMB ' código de status de erro de sistema 'campo como' STATUS_BAD_NETWORK_NAME '. Este erro é definido em 'ntstatus.h'. Microsoft Software Development Kit (SDK) inclui essa definição. Para obter informações adicionais, visite o seguinte site:Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:

1. No computador monitor:
   1. Inicie o Monitor de rede.
   2. No menu capturar, clique em acionador.
   3. Em disparador no, clique em correspondência de padrão.
   4. Em padrão, clique em do início do quadro e clique em Hex.
   5. Na caixa deslocamento (hex), digite 3f.
   6. Na caixa padrão, digite cc0000c0
      
      Observação: O padrão de byte little-endian é equivalente ao erro DWORD 0xC00000CC.
   7. Em Ação do disparador, clique em Parar captura e clique em OK.
   8. No menu capturar, clique em Iniciar.
2. No computador de destino:
   1. Clique em Iniciar e clique em Executar.
   2. Na caixa Abrir, digite \\ servername \ invalid-sharename, onde servername é um nome de servidor válido e onde invalid-sharename é o nome de um compartilhamento inexistente.
   3. Clique em OK. Na mensagem que informa que o nome da rede não pode ser encontrado, clique em OK
3. No computador monitor:
   1. A captura pára automaticamente. No menu arquivo, clique em Salvar como.
   2. Digite um nome descritivo para a captura na caixa nome do arquivo e clique em Salvar.

Solucionar problemas

• Use nomes descritivos quando você salvar o tráfego de rede capturado..
  
  Quando você salva uma captura do monitor de rede, é útil usar um nome de arquivo descritivo. Por exemplo:
  Computer1_connect_failure_05_dec_2002.adr
  Embora um arquivo de captura contém a hora do dia, a data pode não ser óbvias ou verificável, particularmente se o arquivo é modificado. Talvez seja necessário modificar os arquivos de captura durante a análise. Por exemplo, o emparelhamento de Server Message Block (SMB) cliente ou servidor pacotes depende o endereço MAC. Um roteador entre um cliente e um computador servidor pode obscurecer o endereço MAC. Monitor de rede não pode analisar totalmente algumas respostas nessa situação, por exemplo distribuídos arquivo sistema (DFS) referência respostas. Algumas versões do Monitor de rede permitem editar a captura. Como resultado, você pode substituir o endereço MAC do roteador com que o servidor de destino. Isso permite que o SMB analisador para quebrar o pacote indicado em um formulário mais legível.
• Certifique-se de que os relógios são sincronizados entre computadores..
  
  Para muitos procedimentos de diagnóstico, você deve ter um evento ou componente de depuração e rastreamentos do Monitor de rede do problema. Para fazer referência cruzada com êxito a outros arquivos de log com rastreamentos do Monitor de rede, você deve ter relógios sincronizados entre computadores.
• Informações de endereço de IP o salve..
  
  Porque a expiração de concessão DHCP pode causar alterações de endereço IP no cliente computadores, você deve registrar ou salvar endereço IP relevante captura informações durante o Monitor de rede.
• Tenta iniciar a captura antes do problema ocorre..
  
  Capture o tráfego é necessário e suficiente para documentar um problema. Para fazer isso, você deve iniciar uma captura antes de fazer a primeira conexão entre dois computadores de destino e interrompê-lo após o problema ocorre. Por exemplo, com o protocolo SMB, operações de arquivo operam contra alças. Saber o nome de arquivo, você deve capturar o arquivo aberto (ou criar) operação.
• Tente capturar "êxito" e "Falha" rastreamentos..
  
  Se você pode capturar rastreamentos onde ocorre o problema e onde ele não ocorre. É melhor capturar esses rastreamentos contra o mesmo computador de destino. Se você não pode fazer isso, tente capturar de configuração mais próxima possível e ambiente de rede que você pode criar. Por exemplo, ambos os computadores de destino devem se comunicar com o mesmo servidor ou o mesmo computador cliente deve se comunicar com servidores configurados da mesma forma.
• Ações do documento que geram tráfego de rede significativos..
  
  Documentar as ações que executam no destino de computadores para gerar o tráfego de rede significativos. Por exemplo, em um IP ambiente você pode simplificar de referência cruzada da captura a atividade do usuário, atividade de programa ou atividade do arquivo em lotes. Para fazer isso, execute comandos ping ocasionais para um endereço IP exclusivo antes das atividades e após as atividades.

Para obter mais informações, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento: Para obter informações adicionais sobre o utilitário de captura do Monitor de rede incluído no Windows XP, clique no número abaixo para ler o artigo na Base de dados de Conhecimento: