Jak pomocí programu Sledování sítě zachytit provoz sítě

Tento článek se týká systému Windows 2000. Podpora pro systém Windows 2000 končí 13. července 2010. Centrum řešení ukončení podpory systému Windows 2000 je výchozí bod pro plánování strategie migrace ze systému Windows 2000. Další informace naleznete v tématu Zásady životního cyklu podpory společnosti Microsoft.

Souhrn

Tento článek popisuje několik doporučených postupů při sledování sítě (Netmon.exe) použijete pro zachytávání síťových přenosů.


Trasování v síti, který má některé z těchto vlastností může zabránit úspěšné analýzy sebraných síťového provozu:
  • Trasování v síti neobsahuje všechny potřebné síťové přenosy.
  • Obsahuje příliš mnoho zbytečné síťový provoz.
  • Není doprovázen název počítače a adresa informace ohrožených počítačů.
zpět na horní

Definice

V tomto článku se používají tyto definice:
  • Zachycení (nebo trasování): provoz v síti shromážděny a uloženy pomocí sledování sítě (Netmon.exe).
  • Monitor počítače: počítač, který spustí program Sledování sítě.
  • Cílový počítač: počítač, jehož síťový provoz Netmon.exe zachytí.
  • Adresa cíle: konkrétní adresu cílového počítače.
zpět na horní

Zpřístupnění provoz cílový počítač k monitoru počítače

Pokud používáte nástroj Sledování sítě v cílovém počítači, ujistěte se, že všechny síťové přenosy z cílového počítače je k dispozici na monitoru počítače síťový adaptér. To lze provést v prostředí sítě Ethernet připojení k síťovému rozbočovači monitoru počítač a cílový počítač. Pokud jsou monitor a cílové počítače komutované sítě (například jsou připojen k přepínač sítě Ethernet), všechny síťové přenosy do a z cílového počítače nemusí být k dispozici na monitoru počítače.


Poznámka: Obvykle rozbočovač představuje všechny síťové pakety všech síťových rozhraní (nebo porty) a přepínač představuje všechny pakety na určený port. Složitější přepínače mohou povolit možnosti pro filtrování paketů vícesměrového vysílání a advanced port port přemostění pro zachycení sítě a sledování.

zpět na horní

Adresové databáze

Vyhledání a uložení adresy cílové počítače:

Po zachycení adresu kolekce

  1. Pokud není viditelná (například pokud klepnete na tlačítko Zastavit v nabídce sběr namísto zachycení sítě
    Zastavit a zobrazit, nebo je-li aktivace sběru byla v platnosti), klepněte na tlačítko
    Zobrazit sebraná Data na nabídce sběr nebo stiskněte klávesu F12 Zobrazit sebraná data.
  2. V nabídce Zobrazit klepněte na příkaz Najít všechny názvy.
  3. Na zprávu uvádějící, že počet názvů byly nalezeny v sebraných dat klepněte na tlačítko OK.
  4. Uložit databázi adres, jak je popsáno v
    Uložení databáze adres části tohoto článku.
zpět na horní

Uložení databáze adres

Soubory databáze mohou být nepřesné, pokud se změní adresa cílového počítače. K tomu může dojít, pokud vyprší platnost zapůjčení adresy Dynamic Host Configuration Protocol (DHCP) nebo ovladač síťového adaptéru. Společnost Microsoft proto doporučuje uložení databázích adres, které jsou specifické pro program Sledování sítě sbírá.

Uložit databázi adres paměti v programu Sledování sítě do souboru .adr:
  1. V programu Sledování sítě, klepněte na tlačítko adresy na
    Nabídce sběr .

    Poznámka: Pokud zachytit: n(souhrn) dialogového okna, se nezobrazí v nabídce sběr .
  2. Klepněte na tlačítko Uložit, zadejte popisný název do
    Název souboru a klepněte na
    Uložit.
zpět na horní

Před zachycení adresa kolekce: Je cílový počítač v síti

  1. V programu Sledování sítě v nabídce Nástroje klepněte na příkaz Přeložit název na adresy .

    Poznámka: Tento příkaz je pouze k dispozici ve verzi programu Sledování sítě dodávané s Microsoft Systems Management Server (SMS).
  2. Zadejte název cílového počítače v
    Název seznamu a klepněte na
    Řešení.

    V závislosti na síti a konfigurace cílového počítače a možnosti řešení k dispozici název programu Sledování sítě může seznam typické adresy Ethernet, sítě Tokenring, IP a IPX/XNS, které jsou přidruženy k cílovému počítači.
    • Pokud je název, klepněte na tlačítko Uložit adresu přidat adresy do databáze adres paměti v programu Sledování sítě.
    • Pokud název není vyřešen a zobrazí se zpráva "Adresa nebyla nalezena", zkuste uložit cílový počítač od sítě, jak je popsáno v před zachycení adresa kolekce: je cílový počítač od sítě části tohoto článku.
  3. Klepněte na tlačítko Zavříta potom uložit databázi adres.
zpět na horní

Sběr dat před adresa kolekce: Je cílový počítač mimo síť

Chcete-li použít následující postup, musíte znát cílovou adresu. Společnost Microsoft doporučuje používat adresu media access control (MAC) na cílovém počítači. Sběrných filtrů pro specifické protokoly, jako například IP, může způsobit, že program Sledování sítě Ignorovat jiné přenosy protokolu, jako je například IPX/XNS.
  1. V nabídce sběr klepněte na tlačítko
    Adresya potom klepněte na tlačítko Přidat.
  2. Do pole název zadejte název cílového počítače.
  3. Zadejte adresu cílového počítače v
    Pole adresa , například, zadejte adresu IP
    192.247.26.40.
  4. V seznamu Typ klepněte na typ adresy, kterou jste použili v poli adresa . Například klepněte na položku
    IP.
  5. Klepněte na tlačítko OK Chcete-li přidat adresu do databáze adres paměti v programu Sledování sítě.
  6. Uložte databázi adres.
zpět na horní

Filtry pro sběr dat

Následující příklady ukazují, jak nakonfigurovat několik běžných sběrných filtrů. Společnost Microsoft doporučuje nastavit filtr pro MAC adresu cílového počítače (například adresu ETHERNET), pokud je to možné. Zachytit sadu filtrů pro specifické protokoly, jako například IP, způsobí, že program Sledování sítě Ignorovat jiné přenosy protokolu, jako je například IPX/XNS.

zpět na horní

Zachytit všechny přenosy do a z cílového počítače

  1. V nabídce sběr klepněte na tlačítko
    Filtr.
  2. Poklepejte na uzel AND (dvojice adres).
  3. V seznamu název klepněte ve skupinovém rámečku stanice 1klepněte na název cílového počítače, jehož data chcete shromažďovat.
  4. Ve skupinovém rámečku směrklepněte na tlačítko
    <> –a pak klepněte na tlačítko OK.
zpět na horní

Zachytit všechny přenosy mezi dvěma cílových počítačů

  1. V nabídce sběr klepněte na tlačítko
    Filtr.
  2. Poklepejte na uzel AND (dvojice adres).
  3. V seznamu název klepněte ve skupinovém rámečku stanice 1klepněte na název cílového počítače, jehož data chcete shromažďovat.
  4. Ve skupinovém rámečku směrklepněte na tlačítko
    <-->.
  5. V název seznamu stanice 2klepněte na název jiné cílové počítače jehož data chcete shromažďovat.
  6. Klepněte na tlačítko OKa potom klepněte na tlačítko
    OK.
zpět na horní

Uložení filtru pro sběr dat

Uložení filtru pro sběr programu Sledování sítě do souboru .cf:
  1. V nabídce sběr klepněte na tlačítko
    Filtr.
  2. Klepněte na tlačítko Uložit, zadejte popisný název do
    Název souboru a klepněte na tlačítko Uložit.
zpět na horní

Vyrovnávací paměti pro sběr

Ve výchozím nastavení program Sledování sítě můžete uložit zachycení až 1 gigabajt (GB). Chcete-li změnit výchozí nastavení 1MB, klepněte na tlačítko Nastavení vyrovnávací paměti v nabídce sběr programu Sledování sítě.
  • Ověřte, zda je dostatečná návštěvnost sítě dostatečná velikost vyrovnávací paměti. Určit typickou směrný plán, nastavit příslušný sběrný filtr proti klientovi pracovní a proveďte test zachycení. Je-li uložený sběrný stejnou velikost jako nastavení vyrovnávací paměti, je třeba do vyrovnávací paměti větší. Obecně je zvýšit vyrovnávací paměti dvakrát.
  • Ověřte, zda nastavení virtuální paměti (stránkovací soubor) monitoru počítače může zpracovávat maximální velikost, kterou chcete uložit.
zpět na horní

Aktivace sběru

Aktivace sběru jsou obvykle nastaveny pro situace, kdy je obtížné zabránit přetečení vyrovnávací paměti pro sběr. K tomu často dochází, pokud platí některá z následujících podmínek:
  • Nelze spolehlivě reprodukovat problém, který řešíte pomocí zvláštní postup.
  • Nelze účinně koordinovat akce na monitoru a cílové počítače.
  • Je nutné zachytit všechny přenosy do a ze serveru. Například je nutné provést diagnostikovat narušení zámku souboru.
Chcete-li naplánovat aktivaci sběru, máte obvykle odvodit bajt vzorek pro určitý posun od vzorku paket. Například posun SMB "Status Code System Error" se liší pro rozhraní NBT (rozhraní NetBIOS doprava přes adresy IP) a přímo hostující SMB (TCP/UDP port 445). Následující příklad ukazuje, jak nastavit aktivaci sběru, která sběr se zastaví při pokusu o připojení ke sdílené položce neexistující na existující server. Příklad neobsahuje žádné podrobnosti sběrný filtr.

Například chybová zpráva je kód chyby WIN32 0xC00000CC. Digitalizace v SMB "Status Code System Error" se zobrazí kód chyby pole jako "STATUS_BAD_NETWORK_NAME". Tato chyba je definována v "ntstatus.h". Microsoft Software Development Kit (SDK) obsahuje tato definice. Další informace naleznete na následujícím webu společnosti Microsoft:Další informace získáte kliknutím na následující číslo v článku databáze Microsoft Knowledge Base:
113996 INFO: mapování NT stav chybové kódy kódy chyb Win32
  1. Na monitoru počítače:
    1. Spusťte program Sledování sítě.
    2. V nabídce sběr klepněte na tlačítko
      Aktivační události.
    3. Aktivace přiskupinovém rámečku
      Porovnávací vzorek.
    4. Ve skupinovém rámečku vzorkuklepněte na možnost Od začátku rámcea potom klepněte na tlačítko Hex.
    5. Zadejte do pole Offset (šestnáctkový)
      3f.
    6. Do pole vzorek zadejte
      cc0000c0

      Poznámka: vzorek ve formátu little endian bajtů odpovídá chybě DWORD 0xC00000CC.
    7. V rámci Akce aktivační událostklepněte na tlačítko
      Zastavit sběra potom klepněte na tlačítko OK.
    8. V nabídce sběr klepněte na tlačítko
      Spustit.
  2. V cílovém počítači:
    1. Klepněte na tlačítko Starta potom klepněte na tlačítko
      Spustit.
    2. Do pole Otevřít zadejte
      \\název_serveru\název_sdílené_položky neplatný, kde název_serveru je název serveru platný a
      neplatný název_sdílené_položky je název sdílené složky neexistující.
    3. Klepněte na tlačítko OK Ve zprávě, která uvádí, že název sítě nebyl nalezen klepněte na tlačítko OK
  3. Na monitoru počítače:
    1. Sběr se zastaví automaticky. V
      Nabídka soubor , příkaz Uložit jako.
    2. Zadejte popisný název pro sběr dat v
      Název souboru a klepněte na
      Uložit.
zpět na horní

Poradce při potížích

  • Použít popisné názvy souborů při uložení zachycených síťový provoz..

    Uložíte-li sběr programu Sledování sítě, je vhodné použít popisný název souboru. Například:
    Computer1_connect_failure_05_dec_2002.adr
    Přestože sběrný soubor obsahuje čas, datum nemusí být zřejmé nebo ověřitelné, zejména pokud je soubor změněn. Bude pravděpodobně nutné upravit sběrné soubory během analýzy. Například párování bloku SMB (Server Message) paketů klienta nebo serveru závisí na MAC adresu. Adresa MAC může skrývat směrovač mezi klienta a serveru počítače. Program Sledování sítě může analyzovat plně některé odpovědi v této situaci, například distribuovaný soubor systému souborů DFS odkaz odpovědi. Některé verze programu Sledování sítě umožňují upravit sběr. V důsledku toho lze nahradit adresou MAC směrovače cílového serveru. To umožňuje SMB analyzátor zadaný paket rozdělit do lépe čitelné formy.
  • Ujistěte se, že hodiny synchronizovány mezi počítači..

    Pro mnoho diagnostické postupy musíte mít událost nebo součásti ladění a trasování programu Sledování sítě problému. Chcete-li úspěšně kříž odkazovat další soubory protokolů pomocí trasování programu Sledování sítě, musíte mít hodiny synchronizovány mezi počítači.
  • Informace o adrese IP uložit..

    Vzhledem k tomu, že čas vypršení zapůjčení DHCP může způsobit změny adresy IP klienta počítače, musí zaznamenat nebo uložit příslušnou adresu IP shromažďuje informace o průběhu programu Sledování sítě.
  • Pokusu o spuštění sběru před dochází k problému..

    Návštěvnost, která je nutná a dostatečná k dokumentu problém. Chcete-li to provést, je nutné spustit sběr dat před prvním připojení mezi dvěma cílových počítačů a poté zastavte po problému dochází. Například s protokolem SMB, operace se soubory pracovat proti úchyty. Znát název souboru musíte zachytit soubor otevřít (nebo vytvořit) operace.
  • Pokusu o zachycení stopy "success" a "selhání"..

    Pokud je to možné, zachytit stopy, kde dochází k problému a kde neprobíhá. Je vhodné zachytit tyto stopy proti stejný cílový počítač. Pokud se nezdaří, zkuste zachytit z nejbližší možné konfigurace a síťové prostředí, které můžete vytvořit. Například by měly komunikovat obou cílových počítačů na stejném serveru nebo počítači stejného klienta by měl komunikovat s podobně konfigurovaných serverů.
  • Akce, které generují významné síťové přenosy dokladu..

    Akce, které provádíte v cílovém dokumentu počítače ke generování významné síťové přenosy. Například v prostředí IP můžete zjednodušit Křížové odkazování na zachycení činnosti uživatelů, aktivitu programu nebo dávkového souboru aktivity. Provedete to proveďte jednorázové ping příkazy pro jedinečnou adresu IP před činnostmi a po činnosti.
zpět na horní

Odkazy

Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

810156 nebyly nalezeny žádné síťové ovladače chybová zpráva po instalaci programu Sledování sítě

261327 jak přidat další analyzátor do programu Sledování sítě
164961 nastavení sledování sítě nevyhledá instalace předchozí verze
Další informace o nástroji pro sběr programu Sledování sítě je součástí systému Windows XP klepněte na následující číslo článku databáze Microsoft Knowledge Base:
Popis 310875 nástroj pro zachycení programu Sledování sítě


zpět na horní
Vlastnosti

ID článku: 812953 - Poslední kontrola: 16. 1. 2017 - Revize: 2

Váš názor