Að Ýzleyicisi ile að trafiði nasýl yakalanýr

Bu makalede að trafiðini yakalamak amacýyla Microsoft Að Ýzleyicisi (Netmon.exe) kullandýðýnýzda yararlanabileceðiniz birkaç en iyi uygulama anlatýlmaktadýr.

Aþaðýdaki özelliklerden herhangi biri bulunan bir að izlemesi yakalanan að trafiðinin baþarýyla incelenmesini engelleyebilir:

• Að izleme iþlemi gereken tüm að trafiðini içermiyor.
• Çok fazla gereksiz að trafiði içeriyor.
• Etkilenen bilgisayarlarýn ad ve adres bilgilerini içermiyor.

Tanýmlar

Bu makalede aþaðýdaki tanýmlar kullanýlýr:

• Yakalama (veya Ýzleme): Microsoft Að Ýzleyicisi (Netmon.exe) kullanýlarak toplanan ve kaydedilen að trafiði.
• Ýzleme bilgisayarý: Að Ýzleyicisi'nin çalýþtýðý bilgisayar.
• Hedef bilgisayar: Netmon.exe tarafýndan að trafiði yakalanan bilgisayar.
• Hedef adresi: Hedef bilgisayara özel protokol adresi.

Hedef Bilgisayar Trafiðinin Ýzleyici Bilgisayar Tarafýndan Kullanýlmasýný Saðlama

Að Ýzleyicisi'ni hedef bilgisayarda çalýþtýrmýyorsanýz, hedef bilgisayardan gelen tüm að trafiðinin izleyici bilgisayarýn að baðdaþtýrýcýsý tarafýndan kullanýlabildiðinden emin olun. Bunu Ethernet ortamýnda yapabilmek için, hem izleyici hem de hedef bilgisayarý bir að hub'ýna baðlayýn. Ýzleyici ve hedef bilgisayarlar anahtarlý bir að üzerindeyse (örneðin, bir Ethernet anahtarýna baðlýysalar), hedef bilgisayar ile olan tüm að trafiði izleyici bilgisayar tarafýndan kullanýlamayabilir.

Not Normal olarak, bir hub tüm að arabirimlerine (veya baðlantý noktalarýna) gelen tüm að paketlerini gösterir, bir anahtar da hedeflenen baðlantý noktasýna gelen tüm paketleri gösterir. Daha karmaþýk anahtarlar, çok noktaya yayýnlanan paket filtrelerinin yaný sýra að yakalamalarý ve izleme için iki baðlantý noktasý arasýndaki geliþmiþ köprülerle ilgili seçeneklere izin verebilir.

Adres Veritabanlarý

Hedef bilgisayar adreslerini bulup kaydetmek için:

Yakalama Sonrasý Adres Toplama

1. Að yakalamasý görünür deðilse (örneðin, Yakala menüsünde Durdur ve Görüntüle yerine Durdur'u týklatýrsanýz veya bir yakalama tetikleyicisi etkiliydiyse), yakalanan verileri görüntülemek için Yakala menüsünde Yakalanan Verileri Görüntüle'yi týklatýn veya F12 tuþuna basýn.
2. Görüntü menüsünde, Tüm Adlarý Bul'u týklatýn.
3. Yakalanan verilerde belirli sayýda ad bulunduðunu bildiren iletide Tamam'ý týklatýn.
4. Adres veritabanýný, bu makalenin Adres Veritabanýný Kaydetme bölümünde anlatýldýðý biçimde kaydedin.

Adres Veritabanýný Kaydetme

Hedef bilgisayar adresi deðiþirse adres veritabaný dosyalarý tutarsýz hale gelebilir. Bu durum, Dinamik Ana Bilgisayar Yapýlandýrma Protokolü (DHCP) kirasý zaman aþýmýna uðrarsa veya að baðdaþtýrýcýsýný deðiþtirirseniz ortaya çýkar. Bu nedenle, Microsoft, Að Ýzleyicisi yakalamalarýna özgü adres veritabanlarýný kaydetmenizi önerir.

Að Ýzleyicisi'nin bellekteki adres veritabanýný bir .adr dosyasýna kaydetmek için:

1. Að Ýzleyicisi'nde, Yakala menüsünde Adresler'i týklatýn.
   
   Not Yakala: n (Özet) iletiþim kutusu açýksa, Yakala menüsü görüntülenmez.
2. Kaydet'i týklatýn, Dosya adý kutusuna bir açýklayýcý ad yazýn ve Kaydet'i týklatýn.

Yakalama Öncesi Adres Toplama: Hedef Bilgisayar Að Üzerindeyse

1. Að Ýzleyicisi'nde, Araçlar menüsünde Ad Yoluyla Adresleri Çöz'ü týklatýn.
   
   Not Bu komut, yalnýzca Microsoft System Management Server (SMS) ile birlikte gelen Að Ýzleyicisi sürümünde kullanýlabilir.
2. Hedef bilgisayarýn adýný Ad listesine girin ve Çözümle'yi týklatýn.
   
   Aða, hedef bilgisayar yapýlandýrmasýna ve kullanýlabilen ad çözümlemesi seçeneklerine baðlý olarak, Að Ýzleyicisi hedef bilgisayarla ilgili olan Ethernet, Tokenring, IP ve IPX/XNS gibi tipik adresleri listeleyebilir.
   • Ad çözümlenirse, Adresi Kaydet'i týklatýp adresleri Að Ýzleyicisi'nin bellekteki adres veritabanýna ekleyin.
   • Ad çözümlenemezse ve "Adres Bulunamadý" iletisini alýrsanýz, að üzerinde olmayan hedef bilgisayarý bu makalenin Yakalama Öncesi Adres Toplama: Hedef Bilgisayar Að Üzerinde Deðilse bölümünde anlatýlan yolla kaydetmeye çalýþýn.
3. Kapat'ý týklatýn ve adres veritabanýný kaydedin.

Yakalama Öncesi Adres Toplama: Hedef Bilgisayar Að Üzerinde Deðilse

Aþaðýdaki yordamý kullanabilmek için hedef adresi bilmelisiniz. Microsoft, hedef bilgisayarýn ortam eriþim denetimi (MAC) adresini kullanmanýzý önerir. IP gibi bazý protokoller için ayarlanan yakalama filtreleri Að Ýzleyicisi'nin IPX/XNS gibi diðer protokol trafiðini yok saymasýna neden olabilir.

1. Yakala menüsünde, Adresler'i ve sonra Ekle'yi týklatýn.
2. Ad kutusuna hedef bilgisayarýn adýný yazýn.
3. Hedef bilgisayarýn adresini Adres kutusuna yazýn. Örneðin, IP adresi olarak 192.247.26.40 yazýn.
4. Tür listesinde, Adres kutusunda kullandýðýnýz adresin türünü týklatýn. Örneðin, IP'yi týklatýn.
5. Tamam'ý týklatýp adresi Að Ýzleyicisi'nin bellekteki adres veritabanýna ekleyin.
6. Adres veritabanýný kaydedin.

Yakalama Filtreleri

Aþaðýdaki örneklerde sýk kullanýlan bazý yakalama filtrelerinin nasýl yapýlandýrýlacaðý gösterilmektedir. Microsoft, mümkünse hedef bilgisayarýn MAC adresi (ETHERNET adresi gibi) için filtre ayarlamanýzý önerir. IP gibi bazý protokoller için ayarlanan yakalama filtreleri Að Ýzleyicisi'nin IPX/XNS gibi diðer protokol trafiðini yok saymasýna neden olur.

Hedef Bilgisayar ile Olan Tüm Trafiði Yakalama

1. Yakala menüsünde, Filtre'yi týklatýn.
2. VE (Adres Çiftleri) düðümünü çift týklatýn.
3. Ýstasyon 1 altýndaki Ad1 listesinde, verilerini toplamak istediðiniz hedef bilgisayarýn adýný týklatýn.
4. Yön altýnda, <--> simgesini ve sonra Tamam'ý týklatýn.

Ýki Hedef Bilgisayar Arasýndaki Tüm Trafiði Yakalama

1. Yakala menüsünde, Filtre'yi týklatýn.
2. VE (Adres Çiftleri) düðümünü çift týklatýn.
3. Ýstasyon 1 altýndaki Ad1 listesinde, verilerini toplamak istediðiniz hedef bilgisayarýn adýný týklatýn.
4. Yön altýnda, <--> simgesini týklatýn.
5. Ýstasyon 2 altýndaki Ad listesinde, verilerini toplamak istediðiniz diðer hedef bilgisayarýn adýný týklatýn.
6. Tamam'ý týklattýktan sonra yine Tamam'ý týklatýn.

Yakalama Filtresini Kaydetme

Að Ýzleyicisi yakalama filtresini bir .cf dosyasýna kaydetmek için:

1. Yakala menüsünde, Filtre'yi týklatýn.
2. Kaydet'i týklatýn, Dosya adý kutusuna bir açýklayýcý ad yazýn ve Kaydet'i týklatýn.

Yakalama Arabellekleri

Varsayýlan olarak, Að Ýzleyicisi 1 gigabayt (GB) boyutuna kadar olan yakalamalarý kaydedebilir. Varsayýlan ayar olan 1 MB boyutunu deðiþtirmek için, Að Ýzleyicisi'nin Yakala menüsünde Arabellek Ayarlarý'ný týklatýn.

• Arabellek boyutunun yeterli að trafiðini yakalayabilecek boyutta olduðunu doðrulayýn. Genel bir ölçüt belirlemek için, çalýþan bir istemciye uygun bir yakalama filtresi ayarlayýp bir sýnama yakalamasý gerçekleþtirin. Kaydedilen yakalama arabellek ayarýyla ayný boyuttaysa arabellek boyutunu artýrmalýsýnýz. Genel bir kural olarak, arabellek iki katýna çýkarýlýr.
• Ýzleme bilgisayarýnýn sanal bellek (disk belleði dosyasý) ayarlarýnýn kaydetmek istediðiniz en büyük boyutu iþleyebileceðini doðrulayýn.

Yakalama Tetikleyicileri

Yakalama tetikleyicileri, genellikle yakalama arabelleðinin taþmasýný engellemenin zor olduðu durumlar için ayarlanýr. Bu davranýþ, aþaðýdaki koþullardan biri doðru olduðunda sýk ortaya çýkar:

• Belirli bir yordamý kullanarak incelediðiniz sorunu güvenilir þekilde yeniden oluþturamýyorsanýz.
• Ýzleme ve hedef bilgisayarlarda iþlemleri etkin biçimde düzenleyemiyorsanýz.
• Trafik yükü fazla olan bir sunucu ile olan tüm trafiði yakalamanýz gerekiyorsa. Örneðin, bunu dosya kilitleme ihlallerini tanýlamak amacýyla yapmalýsýnýz.

Bir yakalama tetikleyicisi tasarlamak için, bir örnek paketten belirli bir uzaklýk için bir bayt deseni türetmeniz gerekir. Örneðin, SMB 'Durum Kodu Sistem Hatasý' için uzaklýk, NBT (IP Üzerinden NetBIOS Aktarýmý) ve Doðrudan Barýndýrýlan SMB (TCP/UPD baðlantý noktasý 445) için farklýdýr. Aþaðýdaki örnekte, var olan bir sunucudaki var olmayan bir paylaþýma baðlanmaya çalýþtýðýnýzda yakalamayý durduran bir yakalama tetikleyicisini nasýl ayarlayacaðýnýz gösterilmektedir. Bu örnek, yakalama filtresi ayrýntýlarýný içermez.

Örnek hata iletisi olarak WIN32 hata kodu 0xC00000CC kullanýlýr. Hata kodu, bir yakalamada SMB 'Durum Kodu Sistem Hatasý' alanýnda 'STATUS_BAD_NETWORK_NAME' olarak görünür. Bu hata 'ntstatus.h' içinde tanýmlanýr. Microsoft Software Development Kit (SDK) bu tanýmý içerir. Ek bilgi için, aþaðýdaki Microsoft Web sitesini ziyaret edin: Ek bilgi için, Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:

1. Ýzleme bilgisayarýnda:
   1. Að Ýzleyicisi'ni baþlatýn.
   2. Yakala menüsünde, Harekete Geçirici'yi týklatýn.
   3. Harekete Geçirme Koþulu altýnda, Desen eþleþtirmesi'ni týklatýn.
   4. Desen altýnda, Çerçevenin Baþlangýcýndan'ý ve sonra da Onaltýlýk'ý týklatýn.
   5. Kenardan Uzaklýk (Onaltýlýk) kutusuna 3f yazýn.
   6. Desen kutusuna cc0000c0 yazýn.
      
      Not: Küçük endian bayt deseni, hata DWORD 0xC00000CC'ye karþýlýk gelir.
   7. Harekete Geçirici Eylem altýnda, Yakalamayý Durdur'u ve sonra da Tamam'ý týklatýn.
   8. Yakala menüsünde, Baþlat'ý týklatýn.
2. Hedef bilgisayarda:
   1. Baþlat'ý ve sonra Çalýþtýr'ý týklatýn.
   2. Aç kutusuna \\sunucuadý\geçersiz-paylaþýmadý yazýn; burada sunucuadý, geçerli bir sunucu adý ve geçersiz-paylaþýmadý da var olmayan bir paylaþým adýdýr.
   3. Tamam'ý týklatýn. Að adýnýn bulunamadýðýný bildiren iletide, Tamam'ý týklatýn
3. Ýzleme bilgisayarýnda:
   1. Yakalama otomatik olarak durdurulur. Dosya menüsünde, Farklý Kaydet'i týklatýn.
   2. Dosya adý kutusuna yakalama için bir açýklayýcý ad yazýn ve Kaydet'i týklatýn.

Sorun Giderme

• Yakalanan að trafiðini kaydederken, açýklayýcý adlar kullanýn..
  
  Bir að izleme yakalamasýný kaydederken, açýklayýcý bir dosya adý kullanmanýz yararlýdýr. Örneðin:
  Bilgisayar1_baðlantý_hatasý_05_ara_2002.adr
  Yakalama dosyasý günü ve saati içerse de, özellikle dosya deðiþtirilmiþse bu tarih belirgin veya kesin olmayabilir. Ýnceleme sýrasýnda yakalama dosyalarýný deðiþtirmeniz gerekebilir. Örneðin, Sunucu Ýleti Bloðu (SMB) istemci veya sunucu paketleri çifti, MAC adresini kullanýr. Ýstemci ile sunucu bilgisayar arasýndaki bir yönlendirici MAC adresini gizleyebilir. Bu durumda, Að Ýzleyicisi bazý yanýtlarý tam olarak ayrýþtýramaz; örneðin, Daðýtýlmýþ dosya sistemi (DFS) baþvuru yanýtlarý ayrýþtýrýlamaz. Að Ýzleyicisi'nin bazý sürümleri yakalamayý düzenlemenize izin verir. Böylece, yönlendiricinin MAC adresini hedef sunucunun adresiyle deðiþtirebilirsiniz. Bu, SMB ayrýþtýrýcýsýnýn belirtilen paketi daha okunabilir bir biçime bölmesine izin verir.
• Bilgisayarlar arasýnda saatlerin eþzamanlý olduðundan emin olun..
  
  Çoðu tanýlama yordamýnda, sorunla ilgili bir olay veya bileþen hata ayýklamasýna ve Að Ýzleyicisi izlemesine sahip olmalýsýnýz. Diðer günlük dosyalarýyla Að Ýzleyicisi izlemeleri arasýnda baþarýyla çapraz baþvuru oluþturabilmek için bilgisayarlarýn saatleri eþzamanlý olmalýdýr.
• IP adres bilgilerini kaydedin..
  
  DHCP kirasýnýn zaman aþýmýna uðramasý istemci bilgisayarlarda IP adresi deðiþikliklerine neden olduðu için, Að Ýzleyicisi yakalamalarý sýrasýnda ilgili IP adresi bilgilerini kaydetmelisiniz.
• Yakalamayý sorun oluþmadan önce baþlatmaya çalýþýn..
  
  Sorunu belgelemek için gerekli ve yeterli olan trafiði yakalayýn. Bunu yapmak için, iki hedef bilgisayar arasýnda ilk baðlantýdan önce bir yakalama baþlatmalý ve sorunlu davranýþ ortaya çýktýktan sonra da yakalamayý durdurmalýsýnýz. Örneðin, SMB protokolüyle, dosya iþlemleri tanýtýcýlarla çalýþýr. Dosya adýný bilmek için, dosya açma (veya oluþturma) iþlemini yakalamalýsýnýz.
• "Baþarýlý" ve "baþarýsýz" izlerinin her ikisini de yakalamaya çalýþýn..
  
  Yapabilirseniz, sorunun oluþtuðu ve oluþmadýðý durumlarda izler yakalayýn. Bu izleri ayný hedef bilgisayarda yakalamak en iyisidir. Bunu yapamazsanýz, oluþturabileceðiniz en yakýn yapýlandýrmada ve að ortamýndan yakalamaya çalýþýn. Örneðin, her iki hedef bilgisayar da ayný sunucuyla iletiþim kurmalý veya ayný istemci bilgisayar benzer biçimde yapýlandýrýlmýþ sunucularla iletiþim kurmalýdýr.
• Önemli ölçüde að trafiði oluþturan eylemleri belgeleyin..
  
  Hedef bilgisayarlarda önemli ölçüde að trafiði oluþturmak için gerçekleþtirdiðiniz eylemleri belgeleyin. Örneðin, bir IP ortamýnda yakalamanýn kullanýcý, program veya toplu iþ dosyasý etkinliði ile eþleþtirilmesini kolaylaþtýrabilirsiniz. Bunu yapmak için, etkinliklerin hemen öncesinde ve sonrasýnda benzersiz bir IP adresine bir defalýk ping komutlarý gönderin.

Daha fazla bilgi için, Microsoft Bilgi Bankasý'ndaki makaleleri görüntülemek üzere aþaðýdaki makale numaralarýný týklatýn: Windows XP'nin içerdiði Að Ýzleyicisi Yakalama yardýmcý programý hakkýnda ek bilgi için, Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn: