Ağ İzleyicisi ile ağ trafiği nasıl yakalanır

Makale çevirileri Makale çevirileri
Makale numarası: 812953 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

™zet

Bu makalede ağ trafiğini yakalamak amacıyla Microsoft Ağ İzleyicisi (Netmon.exe) kullandığınızda yararlanabileceğiniz birkaç en iyi uygulama anlatılmaktadır.

Aşağıdaki özelliklerden herhangi biri bulunan bir ağ izlemesi yakalanan ağ trafiğinin başarıyla incelenmesini engelleyebilir:
  • Ağ izleme işlemi gereken tüm ağ trafiğini içermiyor.
  • Çok fazla gereksiz ağ trafiği içeriyor.
  • Etkilenen bilgisayarların ad ve adres bilgilerini içermiyor.

Tanımlar

Bu makalede aşağıdaki tanımlar kullanılır:
  • Yakalama (veya İzleme): Microsoft Ağ İzleyicisi (Netmon.exe) kullanılarak toplanan ve kaydedilen ağ trafiği.
  • İzleme bilgisayarı: Ağ İzleyicisi'nin çalıştığı bilgisayar.
  • Hedef bilgisayar: Netmon.exe tarafından ağ trafiği yakalanan bilgisayar.
  • Hedef adresi: Hedef bilgisayara özel protokol adresi.

Hedef Bilgisayar Trafiğinin İzleyici Bilgisayar Tarafından Kullanılmasını Sağlama

Ağ İzleyicisi'ni hedef bilgisayarda çalıştırmıyorsanız, hedef bilgisayardan gelen tüm ağ trafiğinin izleyici bilgisayarın ağ bağdaştırıcısı tarafından kullanılabildiğinden emin olun. Bunu Ethernet ortamında yapabilmek için, hem izleyici hem de hedef bilgisayarı bir ağ hub'ına bağlayın. İzleyici ve hedef bilgisayarlar anahtarlı bir ağ üzerindeyse (örneğin, bir Ethernet anahtarına bağlıysalar), hedef bilgisayar ile olan tüm ağ trafiği izleyici bilgisayar tarafından kullanılamayabilir.

Not Normal olarak, bir hub tüm ağ arabirimlerine (veya bağlantı noktalarına) gelen tüm ağ paketlerini gösterir, bir anahtar da hedeflenen bağlantı noktasına gelen tüm paketleri gösterir. Daha karmaşık anahtarlar, çok noktaya yayınlanan paket filtrelerinin yanı sıra ağ yakalamaları ve izleme için iki bağlantı noktası arasındaki gelişmiş köprülerle ilgili seçeneklere izin verebilir.

Adres Veritabanları

Hedef bilgisayar adreslerini bulup kaydetmek için:

Yakalama Sonrası Adres Toplama

  1. Ağ yakalaması görünür değilse (örneğin, Yakala menüsünde Durdur ve Görüntüle yerine Durdur'u tıklatırsanız veya bir yakalama tetikleyicisi etkiliydiyse), yakalanan verileri görüntülemek için Yakala menüsünde Yakalanan Verileri Görüntüle'yi tıklatın veya F12 tuşuna basın.
  2. Görüntü menüsünde, Tüm Adları Bul'u tıklatın.
  3. Yakalanan verilerde belirli sayıda ad bulunduğunu bildiren iletide Tamam'ı tıklatın.
  4. Adres veritabanını, bu makalenin Adres Veritabanını Kaydetme bölümünde anlatıldığı biçimde kaydedin.

Adres Veritabanını Kaydetme

Hedef bilgisayar adresi değişirse adres veritabanı dosyaları tutarsız hale gelebilir. Bu durum, Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) kirası zaman aşımına uğrarsa veya ağ bağdaştırıcısını değiştirirseniz ortaya çıkar. Bu nedenle, Microsoft, Ağ İzleyicisi yakalamalarına özgü adres veritabanlarını kaydetmenizi önerir.

Ağ İzleyicisi'nin bellekteki adres veritabanını bir .adr dosyasına kaydetmek için:
  1. Ağ İzleyicisi'nde, Yakala menüsünde Adresler'i tıklatın.

    Not Yakala: n (Özet) iletişim kutusu açıksa, Yakala menüsü görüntülenmez.
  2. Kaydet'i tıklatın, Dosya adı kutusuna bir açıklayıcı ad yazın ve Kaydet'i tıklatın.

Yakalama Öncesi Adres Toplama: Hedef Bilgisayar Ağ Üzerindeyse

  1. Ağ İzleyicisi'nde, Araçlar menüsünde Ad Yoluyla Adresleri Çöz'ü tıklatın.

    Not Bu komut, yalnızca Microsoft System Management Server (SMS) ile birlikte gelen Ağ İzleyicisi sürümünde kullanılabilir.
  2. Hedef bilgisayarın adını Ad listesine girin ve Çözümle'yi tıklatın.

    Ağa, hedef bilgisayar yapılandırmasına ve kullanılabilen ad çözümlemesi seçeneklerine bağlı olarak, Ağ İzleyicisi hedef bilgisayarla ilgili olan Ethernet, Tokenring, IP ve IPX/XNS gibi tipik adresleri listeleyebilir.
    • Ad çözümlenirse, Adresi Kaydet'i tıklatıp adresleri Ağ İzleyicisi'nin bellekteki adres veritabanına ekleyin.
    • Ad çözümlenemezse ve "Adres Bulunamadı" iletisini alırsanız, ağ üzerinde olmayan hedef bilgisayarı bu makalenin Yakalama Öncesi Adres Toplama: Hedef Bilgisayar Ağ Üzerinde Değilse bölümünde anlatılan yolla kaydetmeye çalışın.
  3. Kapat'ı tıklatın ve adres veritabanını kaydedin.

Yakalama Öncesi Adres Toplama: Hedef Bilgisayar Ağ Üzerinde Değilse

Aşağıdaki yordamı kullanabilmek için hedef adresi bilmelisiniz. Microsoft, hedef bilgisayarın ortam erişim denetimi (MAC) adresini kullanmanızı önerir. IP gibi bazı protokoller için ayarlanan yakalama filtreleri Ağ İzleyicisi'nin IPX/XNS gibi diğer protokol trafiğini yok saymasına neden olabilir.
  1. Yakala menüsünde, Adresler'i ve sonra Ekle'yi tıklatın.
  2. Ad kutusuna hedef bilgisayarın adını yazın.
  3. Hedef bilgisayarın adresini Adres kutusuna yazın. Örneğin, IP adresi olarak 192.247.26.40 yazın.
  4. Tür listesinde, Adres kutusunda kullandığınız adresin türünü tıklatın. Örneğin, IP'yi tıklatın.
  5. Tamam'ı tıklatıp adresi Ağ İzleyicisi'nin bellekteki adres veritabanına ekleyin.
  6. Adres veritabanını kaydedin.

Yakalama Filtreleri

Aşağıdaki örneklerde sık kullanılan bazı yakalama filtrelerinin nasıl yapılandırılacağı gösterilmektedir. Microsoft, mümkünse hedef bilgisayarın MAC adresi (ETHERNET adresi gibi) için filtre ayarlamanızı önerir. IP gibi bazı protokoller için ayarlanan yakalama filtreleri Ağ İzleyicisi'nin IPX/XNS gibi diğer protokol trafiğini yok saymasına neden olur.

Hedef Bilgisayar ile Olan Tüm Trafiği Yakalama

  1. Yakala menüsünde, Filtre'yi tıklatın.
  2. VE (Adres Çiftleri) düğümünü çift tıklatın.
  3. İstasyon 1 altındaki Ad1 listesinde, verilerini toplamak istediğiniz hedef bilgisayarın adını tıklatın.
  4. Yön altında, <--> simgesini ve sonra Tamam'ı tıklatın.

İki Hedef Bilgisayar Arasındaki Tüm Trafiği Yakalama

  1. Yakala menüsünde, Filtre'yi tıklatın.
  2. VE (Adres Çiftleri) düğümünü çift tıklatın.
  3. İstasyon 1 altındaki Ad1 listesinde, verilerini toplamak istediğiniz hedef bilgisayarın adını tıklatın.
  4. Yön altında, <--> simgesini tıklatın.
  5. İstasyon 2 altındaki Ad listesinde, verilerini toplamak istediğiniz diğer hedef bilgisayarın adını tıklatın.
  6. Tamam'ı tıklattıktan sonra yine Tamam'ı tıklatın.

Yakalama Filtresini Kaydetme

Ağ İzleyicisi yakalama filtresini bir .cf dosyasına kaydetmek için:
  1. Yakala menüsünde, Filtre'yi tıklatın.
  2. Kaydet'i tıklatın, Dosya adı kutusuna bir açıklayıcı ad yazın ve Kaydet'i tıklatın.

Yakalama Arabellekleri

Varsayılan olarak, Ağ İzleyicisi 1 gigabayt (GB) boyutuna kadar olan yakalamaları kaydedebilir. Varsayılan ayar olan 1 MB boyutunu değiştirmek için, Ağ İzleyicisi'nin Yakala menüsünde Arabellek Ayarları'nı tıklatın.
  • Arabellek boyutunun yeterli ağ trafiğini yakalayabilecek boyutta olduğunu doğrulayın. Genel bir ölçüt belirlemek için, çalışan bir istemciye uygun bir yakalama filtresi ayarlayıp bir sınama yakalaması gerçekleştirin. Kaydedilen yakalama arabellek ayarıyla aynı boyuttaysa arabellek boyutunu artırmalısınız. Genel bir kural olarak, arabellek iki katına çıkarılır.
  • İzleme bilgisayarının sanal bellek (disk belleği dosyası) ayarlarının kaydetmek istediğiniz en büyük boyutu işleyebileceğini doğrulayın.

Yakalama Tetikleyicileri

Yakalama tetikleyicileri, genellikle yakalama arabelleğinin taşmasını engellemenin zor olduğu durumlar için ayarlanır. Bu davranış, aşağıdaki koşullardan biri doğru olduğunda sık ortaya çıkar:
  • Belirli bir yordamı kullanarak incelediğiniz sorunu güvenilir şekilde yeniden oluşturamıyorsanız.
  • İzleme ve hedef bilgisayarlarda işlemleri etkin biçimde düzenleyemiyorsanız.
  • Trafik yükü fazla olan bir sunucu ile olan tüm trafiği yakalamanız gerekiyorsa. Örneğin, bunu dosya kilitleme ihlallerini tanılamak amacıyla yapmalısınız.
Bir yakalama tetikleyicisi tasarlamak için, bir örnek paketten belirli bir uzaklık için bir bayt deseni türetmeniz gerekir. Örneğin, SMB 'Durum Kodu Sistem Hatası' için uzaklık, NBT (IP Üzerinden NetBIOS Aktarımı) ve Doğrudan Barındırılan SMB (TCP/UPD bağlantı noktası 445) için farklıdır. Aşağıdaki örnekte, var olan bir sunucudaki var olmayan bir paylaşıma bağlanmaya çalıştığınızda yakalamayı durduran bir yakalama tetikleyicisini nasıl ayarlayacağınız gösterilmektedir. Bu örnek, yakalama filtresi ayrıntılarını içermez.

Örnek hata iletisi olarak WIN32 hata kodu 0xC00000CC kullanılır. Hata kodu, bir yakalamada SMB 'Durum Kodu Sistem Hatası' alanında 'STATUS_BAD_NETWORK_NAME' olarak görünür. Bu hata 'ntstatus.h' içinde tanımlanır. Microsoft Software Development Kit (SDK) bu tanımı içerir. Ek bilgi için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/msdownload/platformsdk/sdkupdate/
Ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
113996 BİLGİ: NT Durum Hata Kodlarını Win32 Hata Kodlarıyla Eşleştirmek (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
  1. İzleme bilgisayarında:
    1. Ağ İzleyicisi'ni başlatın.
    2. Yakala menüsünde, Harekete Geçirici'yi tıklatın.
    3. Harekete Geçirme Koşulu altında, Desen eşleştirmesi'ni tıklatın.
    4. Desen altında, Çerçevenin Başlangıcından'ı ve sonra da Onaltılık'ı tıklatın.
    5. Kenardan Uzaklık (Onaltılık) kutusuna 3f yazın.
    6. Desen kutusuna cc0000c0 yazın.

      Not: Küçük endian bayt deseni, hata DWORD 0xC00000CC'ye karşılık gelir.
    7. Harekete Geçirici Eylem altında, Yakalamayı Durdur'u ve sonra da Tamam'ı tıklatın.
    8. Yakala menüsünde, Başlat'ı tıklatın.
  2. Hedef bilgisayarda:
    1. Başlat'ı ve sonra Çalıştır'ı tıklatın.
    2. kutusuna \\sunucuadı\geçersiz-paylaşımadı yazın; burada sunucuadı, geçerli bir sunucu adı ve geçersiz-paylaşımadı da var olmayan bir paylaşım adıdır.
    3. Tamam'ı tıklatın. Ağ adının bulunamadığını bildiren iletide, Tamam'ı tıklatın
  3. İzleme bilgisayarında:
    1. Yakalama otomatik olarak durdurulur. Dosya menüsünde, Farklı Kaydet'i tıklatın.
    2. Dosya adı kutusuna yakalama için bir açıklayıcı ad yazın ve Kaydet'i tıklatın.

Sorun Giderme

  • Yakalanan ağ trafiğini kaydederken, açıklayıcı adlar kullanın..

    Bir ağ izleme yakalamasını kaydederken, açıklayıcı bir dosya adı kullanmanız yararlıdır. Örneğin:
    Bilgisayar1_bağlantı_hatası_05_ara_2002.adr
    Yakalama dosyası günü ve saati içerse de, özellikle dosya değiştirilmişse bu tarih belirgin veya kesin olmayabilir. İnceleme sırasında yakalama dosyalarını değiştirmeniz gerekebilir. Örneğin, Sunucu İleti Bloğu (SMB) istemci veya sunucu paketleri çifti, MAC adresini kullanır. İstemci ile sunucu bilgisayar arasındaki bir yönlendirici MAC adresini gizleyebilir. Bu durumda, Ağ İzleyicisi bazı yanıtları tam olarak ayrıştıramaz; örneğin, Dağıtılmış dosya sistemi (DFS) başvuru yanıtları ayrıştırılamaz. Ağ İzleyicisi'nin bazı sürümleri yakalamayı düzenlemenize izin verir. Böylece, yönlendiricinin MAC adresini hedef sunucunun adresiyle değiştirebilirsiniz. Bu, SMB ayrıştırıcısının belirtilen paketi daha okunabilir bir biçime bölmesine izin verir.
  • Bilgisayarlar arasında saatlerin eşzamanlı olduğundan emin olun..

    Çoğu tanılama yordamında, sorunla ilgili bir olay veya bileşen hata ayıklamasına ve Ağ İzleyicisi izlemesine sahip olmalısınız. Diğer günlük dosyalarıyla Ağ İzleyicisi izlemeleri arasında başarıyla çapraz başvuru oluşturabilmek için bilgisayarların saatleri eşzamanlı olmalıdır.
  • IP adres bilgilerini kaydedin..

    DHCP kirasının zaman aşımına uğraması istemci bilgisayarlarda IP adresi değişikliklerine neden olduğu için, Ağ İzleyicisi yakalamaları sırasında ilgili IP adresi bilgilerini kaydetmelisiniz.
  • Yakalamayı sorun oluşmadan önce başlatmaya çalışın..

    Sorunu belgelemek için gerekli ve yeterli olan trafiği yakalayın. Bunu yapmak için, iki hedef bilgisayar arasında ilk bağlantıdan önce bir yakalama başlatmalı ve sorunlu davranış ortaya çıktıktan sonra da yakalamayı durdurmalısınız. Örneğin, SMB protokolüyle, dosya işlemleri tanıtıcılarla çalışır. Dosya adını bilmek için, dosya açma (veya oluşturma) işlemini yakalamalısınız.
  • "Başarılı" ve "başarısız" izlerinin her ikisini de yakalamaya çalışın..

    Yapabilirseniz, sorunun oluştuğu ve oluşmadığı durumlarda izler yakalayın. Bu izleri aynı hedef bilgisayarda yakalamak en iyisidir. Bunu yapamazsanız, oluşturabileceğiniz en yakın yapılandırmada ve ağ ortamından yakalamaya çalışın. Örneğin, her iki hedef bilgisayar da aynı sunucuyla iletişim kurmalı veya aynı istemci bilgisayar benzer biçimde yapılandırılmış sunucularla iletişim kurmalıdır.
  • Önemli ölçüde ağ trafiği oluşturan eylemleri belgeleyin..

    Hedef bilgisayarlarda önemli ölçüde ağ trafiği oluşturmak için gerçekleştirdiğiniz eylemleri belgeleyin. Örneğin, bir IP ortamında yakalamanın kullanıcı, program veya toplu iş dosyası etkinliği ile eşleştirilmesini kolaylaştırabilirsiniz. Bunu yapmak için, etkinliklerin hemen öncesinde ve sonrasında benzersiz bir IP adresine bir defalık ping komutları gönderin.


Referanslar

Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
810156 Ağ İzleyicisi Yüklendikten Sonra 'Hiç Ağ Sürücüsü Bulunamadı' Hata İletisi (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
261327 Ağ İzleyicisi'ne Ek Bir Ayrıştırıcı Nasıl Eklenir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
164961 Ağ İzleyicisi Kur Önceki Yükleme Sürümünü Bulamıyor (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
Windows XP'nin içerdiği Ağ İzleyicisi Yakalama yardımcı programı hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
310875 Ağ İzleyicisi Yakalama Yardımcı Programının Açıklaması


Özellikler

Makale numarası: 812953 - Last Review: 20 Ekim 2005 Perşembe - Gözden geçirme: 2.0
Bu makaledeki bilginin uygulandigi durum:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Anahtar Kelimeler: 
kbhowtomaster KB812953

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com