Использование сетевого монитора для записи сетевого трафика

Переводы статьи Переводы статьи
Код статьи: 812953 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание
В данной статье относится к Windows 2000. Поддержка Windows 2000 заканчивается на 13 июля 2010 г. В Центр решений-технической поддержки Windows 2000 является отправной точкой для планирования стратегии перехода от Windows 2000. Для получения дополнительных сведений см. Политики поддержи продуктов Майкрософт.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описаны некоторые советы и рекомендации при использовать сетевой монитор (Netmon.exe) для записи сетевого трафика.

Возможно, на котором один из следующих характеристик трассировки сети предотвратить успешного анализа собранных сетевого трафика:
  • Трассировка сети не содержит всех необходимых сетевой трафик.
  • Он содержит слишком много ненужных сети трафик.
  • Он не сопровождается имя и адрес сведения о соответствующих компьютеров.

Определения

В этой статье используются следующие определения:
  • Захват (или Трассировка): Сетевой трафик, собираются и сохраняются с помощью Microsoft Сетевой монитор (Netmon.exe).
  • Монитор компьютера: Компьютера, который запускает сетевой монитор.
  • Конечный компьютер: Захватывает компьютера, чьи сетевого трафика Netmon.exe.
  • Конечный адрес: Адрес определенного протокола на конечном компьютере.

Предоставление трафика целевого компьютера к компьютеру монитор

Если сетевой монитор не работают на конечном компьютере Убедитесь, что весь сетевой трафик на конечный компьютер доступен сетевой адаптер монитора компьютера. Для этого в Ethernet Среда, подключите монитор компьютера и целевого компьютера сетевой концентратор. Если монитор и целевой компьютеры находятся в коммутируемой сети (для пример, они подключены к коммутатору Ethernet), сетевой трафик для и из конечного компьютера могут быть недоступны на мониторе компьютера.

Примечание Как правило, концентратор предоставляет сетевые пакеты на все Сетевые интерфейсы (или портов) и параметр представляет все пакеты на предполагаемого порта. Параметры для пакетов многоадресной рассылки позволяет более сложных параметров Фильтрация и дополнительно-портов маршрутизации для сети перехватывает и мониторинг.

Базы данных адресов

Чтобы найти и сохранить адреса целевого компьютера:

Post-Capture адрес коллекции

  1. Если записи сетевых данных не отображается (например, если вы Нажмите кнопку Остановить В меню Захват меню вместоОстановить и просмотретьили если триггер записи было в силе), нажмите кнопкуОтобразить записанные данные В меню Захват меню или Нажмите клавишу F12, чтобы отобразить записанные данные.
  2. На Отображение меню, нажмите кнопку Найти Все имена.
  3. В окне сообщения о том, что были количество имен найти в собранных данных, нажмите кнопку ОК.
  4. Сохранить базу данных адресов, как описано в разделеСохранение базы данных адресов раздел этой статьи.

Сохранение базы данных адресов

Адрес базы данных файлы могут стать неточными Если целевой объект Изменение адреса компьютера. Это может произойти, если динамической конфигурации хоста Срок действия аренды протокол DHCP или замените сетевой адаптер. Таким образом, Корпорация Майкрософт рекомендует сохранить определенные базы данных адресов в сети Монитор записывает.

Чтобы сохранить в памяти адрес сетевого монитора База данных в файл с расширением .adr:
  1. В сетевой монитор нажмите кнопку Адреса В менюЗахват меню.

    Примечание Если Записи: (Сводка) диалоговое окно остается открытым, Захват меню не отображаются.
  2. Нажмите кнопку Сохранить, введите описательное имя вИмя файла поле, а затем нажмите кнопкуСохранить.

Коллекция pre-Capture адрес: Конечный компьютер подключен к сети

  1. В сетевой монитор нажмите кнопку Определение адресов по Имя В меню Сервис меню.

    Примечание Эта команда доступна только в версии сетевого монитора в комплект Microsoft Systems Management Server (SMS).
  2. Введите имя конечного компьютера вИмя список и нажмите кнопкуРешения.

    В зависимости от сети и целевого компьютера способы разрешения имен доступных и настройка сетевого монитора могут список типичных адресов, таких как Ethernet, Tokenring, IP и IPX/XNS, которые связанные с конечного компьютера.
    • Если имя не возникает повторно, нажмите кнопку Сохранить Адрес Чтобы добавить адреса в памяти адрес сетевого монитора База данных.
    • Если имя не разрешено, и появляется Сообщение «Адрес не найден», сохраните конечный компьютер из сети как описано в разделе Адрес pre-Capture Коллекция: Конечный компьютер отключен от сети Этот раздел в статье.
  3. Нажмите кнопку Закрыть, а затем сохраните адрес База данных.

Коллекция pre-Capture адрес: Конечный компьютер отключен от сети

Использовать следующую процедуру, необходимо знать адрес назначения. Корпорация Майкрософт рекомендует использовать аппаратный (MAC) адрес из конечный компьютер. Возможно для определенных протоколов, таких как IP-фильтров записи вызвать игнорировать другие трафик протокола, например, IPX/XNS сетевым монитором.
  1. На Захват меню, нажмите кнопкуАдреса, а затем нажмите кнопку Добавить.
  2. В Имя Введите имя конечный компьютер.
  3. Введите адрес конечного компьютера вАдрес поле, например, введите IP-адрес192.247.26.40.
  4. В Тип Выберите тип адрес, используемый в Адрес поле. Например нажмите кнопкуIP-.
  5. Нажмите кнопку ОК Чтобы добавить адрес в сети Мониторинг базы данных адрес в памяти.
  6. Сохраните базу данных адресов.

Фильтры записи

В следующих примерах показаны способы настройки нескольких общих фильтры записи данных. Корпорация Майкрософт рекомендует установить фильтр для MAC адрес компьютера назначения (например, ETHERNET-адрес), если это возможно. Захват набор фильтров для определенных протоколов, таких как IP, приведет к сети Монитор игнорировать другой трафик протокола, например, IPX/XNS.

Записывать все трафик на конечном компьютере

  1. На Захват меню, нажмите кнопкуФильтр.
  2. Дважды щелкните значок AND (пары адресов)узел.
  3. В Имя список в разделе Станция 1, щелкните имя конечного компьютера, данные которого требуется сбор.
  4. В группе Направление, нажмите кнопку<--></-->, а затем нажмите кнопку ОК.

Захват трафика между двумя конечном компьютере

  1. На Захват меню, нажмите кнопкуФильтр.
  2. Дважды щелкните значок AND (пары адресов)узел.
  3. В Имя список в разделе Станция 1, щелкните имя конечного компьютера, данные которого требуется сбор.
  4. В группе Направление, нажмите кнопку<--></-->.
  5. В Имя список в разделе Станция 2, щелкните имя другого конечного компьютера, данные которого требуется сбор.
  6. Нажмите кнопку ОК, а затем нажмите кнопкуОК.

Сохранение фильтра записи

Чтобы сохранить файл .cf Фильтр записи сетевого монитора:
  1. На Захват меню, нажмите кнопкуФильтр.
  2. Нажмите кнопку Сохранить, введите описательное имя вИмя файла поле, а затем нажмите кнопку Сохранить.

Буферы записи

По умолчанию сетевой монитор можно сохранять снимки до 1 гигабайта (ГБ). Чтобы изменить значение по умолчанию составляет 1 МБ, нажмите кнопку Буфер Параметры в сетевом мониторе Захват меню.
  • Убедитесь, что размер буфера недостаточно для захвата достаточно сетевого трафика. Для определения типичных базового плана, установите соответствующий Фильтр запроса от клиента работы и выполнить тест записи. Если сохраненные записи равно размеру буфера, необходимо сделать буфер большего размера. Общее правило — повысить буфера с коэффициентом два.
  • Убедитесь, что параметры виртуальной памяти (файл подкачки) монитора компьютер может обрабатывать максимальный размер, который вы хотите Сохраните.

Триггеры записи

Захват триггеры обычно устанавливается для случаев, когда он трудно предотвратить переполнение буфера записи. Это часто происходит. При любой из следующих условий:
  • Нельзя надежно воспроизвести проблему, вы являетесь Исследование с помощью определенной процедуры.
  • Не удается эффективно координировать действия на экране монитора и конечных компьютеров.
  • Необходимо записать весь трафик из сильно загруженного сервера. Например это необходимо сделать для диагностики блокировка файла нарушения.
Чтобы разработать триггер записи, обычно требуется наследовать байт шаблон для определенного смещения из образца пакета. Например смещение для SMB «Состояние код системной ошибки» отличается от NBT (NetBIOS транспорта по протоколу IP) и прямым управлением SMB (TCP/МУ порту 445). В следующем примере показан Установка триггера записи, Остановка сбора данных при попытке подключения к несуществующий ресурс на сервер. Не содержит пример запись сведений о фильтре.

Пример сообщения об ошибке является ошибка WIN32 код 0xC00000CC. Код ошибки отображается в записи в протоколе SMB "код состояния Системная ошибка "поле «status_bad_network_name». Эта ошибка определяется в «ntstatus.h». Это включает Microsoft Software Development Kit (SDK) Определение. Для получения дополнительных сведений посетите следующий веб-узел корпорации Майкрософт:
http://www.microsoft.com/msdownload/platformsdk/sdkupdate/
Для получения дополнительных сведений нажмите кнопку следующий номер статьи базы знаний Майкрософт:
113996ИНФОРМАЦИЯ: Кодов NT состояния ошибок кодов ошибок Win32
  1. На мониторе компьютера:
    1. Запустите сетевой монитор.
    2. На Захват меню, нажмите кнопку Триггер.
    3. В группе Включение триггера, нажмите кнопку Соответствие шаблону.
    4. В группе Шаблон, нажмите кнопку Из Начало кадра, а затем нажмите кнопку Шестн..
    5. В Смещение (шестн.) поле типа 3F.
    6. В Шаблон поле типа cc0000c0

      Примечание: Эквивалентно ошибки типа DWORD шаблон с прямым порядком байтов 0xC00000CC.
    7. В группе Действия триггера, нажмите кнопку Остановка записи, а затем нажмите кнопку ОК.
    8. На Захват меню, нажмите кнопку Начало.
  2. На конечном компьютере.
    1. Нажмите кнопку Начало, а затем нажмите кнопку Запустить.
    2. В Открыть поле типа \\Имя_сервера\Недопустимый ресурс, В данной команде Имя_сервера имеет допустимое имя сервера и где Недопустимый ресурс имя несуществующего общий ресурс.
    3. Нажмите кнопку ОК. На сообщение о том что сетевое имя не найдено, нажмите кнопку ОК
  3. На мониторе компьютера:
    1. Записи автоматически останавливается. На Файл меню, нажмите кнопку Сохранить как.
    2. Введите описательное имя для записи в Имя файла поле, а затем нажмите кнопку Сохранить.

Разрешение вопросов:

  • Используйте описательные имена, при сохранении Перехваченный трафик сети..

    При сохранении записи сетевого монитора полезно Чтобы использовать описательное имя файла. Например:
    Computer1_connect_failure_05_dec_2002.adr
    Несмотря на то, что файл записи содержит время, дата не может быть понятным и может быть проверен, особенно в том случае, если файл изменен. Возможно, потребуется Изменение записи файлов во время анализа. Например подключения сервера Пакетов SMB (блок) клиента или сервера сообщений зависит от MAC-адрес. A маршрутизатор между клиентом и сервером может скрывать MAC-адрес. Сетевой монитор может не выполнить синтаксический разбор полностью некоторые ответы в этой ситуации для ответы справочной системы (DFS) файл распределенных пример. В некоторых версиях Сетевой монитор позволяет редактировать записи. В результате замены маршрутизатор MAC-адрес с целевого сервера. Это позволит использовать SMB средство синтаксического анализа для указанного пакета в более понятном виде.
  • Убедитесь, что часы синхронизированы между компьютерами..

    Многие диагностические процедуры необходимо настроить события или компонент отладки и трассировки сетевого монитора проблемы. Для успешно перекрестные ссылки на другие файлы журнала с помощью трассировки сетевого монитора, необходимо синхронизировать часы компьютеров.
  • Сохраните данные IP-адресации..

    Поскольку срок действия аренды DHCP может привести к IP-адрес исправления на клиентских компьютерах необходимо записать или сохранить соответствующие IP-адреса захватывает сведения о ходе сетевого монитора.
  • Попробуйте запустить записи перед возникновением проблемы..

    Захват трафика, необходимо и достаточно для документ проблемы. Для этого необходимо начала записи, перед тем как сделать Первое подключение между двумя конечного компьютера и остановите его после происходит ошибка. Например протокол SMB файловых операций работе с маркерами. Чтобы узнать имя файла, необходимо собрать данные откройте файл (или создать) операции.
  • Попробуйте для трассировки «успех» и «сбой»..

    Если можно записи трассировок, где возникает проблема и где это не происходит. Рекомендуется для трассировки с одинаковыми конечный компьютер. Если не удается, попробуйте выполните захват с ближайшим возможные конфигурации и сетевой среды, можно создать. Для пример, обеих конечных компьютеров должны взаимодействовать с того же сервера или же клиентский компьютер должен взаимодействовать с аналогичным образом настроен серверы.
  • Действия с документами, которые создают значительный сетевой трафик..

    Действия, которые выполняются в целевой документ компьютеры создают значительный сетевой трафик. Например в IP Среда позволяет упростить перекрестных ссылок записи для пользователя действия, действия программы или пакетного файла активности. Для этого выполните одноразовые Сообщение об ошибке «Проверка связи команды для уникального IP-адреса перед действиями, и Затем после выполнения действий.


Ссылки

Для получения дополнительных сведений щелкните следующие номера статей базы знаний Майкрософт:
810156Сообщение об ошибке «Нет драйверов сети не найдены» после установки сетевого монитора
261327 Как добавить дополнительные анализатор сетевого монитора
164961 Настройка сетевой монитор не находит установки предыдущей версии
Для получения дополнительных сведений о сети Мониторинг программа захвата, включенные в Windows XP, нажмите кнопку Следующая статья номер статьи базы знаний Майкрософт:
310875Описание средства записи сетевого монитора


Свойства

Код статьи: 812953 - Последний отзыв: 14 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbhowtomaster kbmt KB812953 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:812953

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com