Comment faire pour utiliser le Moniteur réseau pour capturer le trafic réseau

Cet article s’applique à Windows 2000. De support de Windows 2000 prend fin le 13 juillet 2010. Le Centre de solutions fin du Support de Windows 2000 est le point de départ pour la planification de votre stratégie de migration à partir de Windows 2000. Pour plus d’informations, consultez la Politique de Support Microsoft.

Résumé

Cet article décrit plusieurs méthodes conseillées à utiliser lorsque vous utilisez le Moniteur réseau (Netmon.exe) Microsoft pour capturer le trafic réseau.


Une trace réseau qui possède les caractéristiques suivantes peut-être empêcher l’analyse réussie de la capture du trafic réseau :
  • La trace réseau ne contient-elle pas tout le trafic réseau nécessaire.
  • Il contient trop de trafic réseau inutile.
  • Il n’est pas accompagnée d’informations de nom et l’adresse de l’ordinateur les ordinateurs affectés.
Retour au début

Définitions de

Les définitions suivantes sont utilisées dans cet article :
  • Capture (ou Trace) : le trafic de réseau collectés et enregistrés en utilisant le Moniteur réseau (Netmon.exe) Microsoft.
  • Observer un ordinateur: l’ordinateur qui exécute le Moniteur réseau.
  • Ordinateur cible: capture d’un ordinateur dont le réseau Netmon.exe de trafic.
  • Adresse cible: l’adresse de protocole spécifique de l’ordinateur cible.
Retour au début

Mise à disposition du trafic d’ordinateur cible vers l’ordinateur de moniteur

Si vous n’exécutez pas le Moniteur réseau sur l’ordinateur cible, assurez-vous que tout le trafic réseau à partir de l’ordinateur cible est disponible sur la carte réseau de l’ordinateur de moniteur. Pour ce faire, dans l’environnement Ethernet, connectez l’ordinateur de moniteur et l’ordinateur cible à un concentrateur réseau. Si le moniteur et la cible se trouvent sur un réseau commuté (par exemple, ils sont connectés à un commutateur Ethernet), tout le trafic réseau vers et à partir de la cible ordinateur peut être pas disponible sur l’ordinateur de moniteur.


Remarque En général, un concentrateur présente tous les paquets réseau pour tout le réseau interfaces (ou des ports), et un commutateur présente tous les paquets vers le port de destination. Les commutateurs plus complexes peuvent autoriser des options de filtrage des paquets de multidiffusion et avancées de port-port de pont pour des captures réseau et la surveillance.

Retour au début

Bases de données adresse

Pour rechercher et enregistrer les adresses d’ordinateur cible :

Collection d’adresses d’après Capture

  1. Si la capture de réseau n’est pas visible (par exemple, si vous cliquez sur Arrêter dans le menu Capture au lieu de
    Arrêter et afficher, ou si un déclencheur de capture a été en vigueur), cliquez sur
    Afficher les données capturées dans le menu Capture ou appuyez sur la touche F12 pour afficher les données capturées.
  2. Dans le menu affichage , cliquez sur Rechercher tous les noms.
  3. Dans le message indiquant qu’un certain nombre de noms ont été trouvé dans les données capturées, cliquez sur OK.
  4. Enregistrer la base de données adresse, comme décrit dans le
    L’enregistrement d’une adresse de base de données de la section de cet article.
Retour au début

L’enregistrement d’une base de données adresse

Fichiers de base de données d’adresses peuvent devenir inexacts si l’adresse de l’ordinateur cible est modifiée. Cela peut se produire si le protocole de Configuration d’hôte dynamique (DHCP) de bail expire ou si vous remplacez la carte réseau. Par conséquent, Microsoft recommande que vous enregistrez les bases de données de l’adresse spécifique au Moniteur réseau capture.

Pour enregistrer la base de données en mémoire adresse de moniteur réseau dans un fichier .adr :
  1. Dans le Moniteur réseau, cliquez sur adresses dans le
    Menu de capture .

    Remarque Si la de Capture : n(résumé) boîte de dialogue est ouverte, le menu Capture n’apparaît pas.
  2. Cliquez sur Enregistrer, tapez un nom descriptif dans la
    Zone nom de fichier , puis cliquez sur
    Enregistrer.
Retour au début

Collection de Pre-Capture adresse : L’ordinateur cible est sur le réseau

  1. Dans le Moniteur réseau, cliquez sur Résoudre les adresses de nom dans le menu Outils .

    Remarque Cette commande est uniquement disponible dans la version du Moniteur réseau fournie avec Microsoft Systems Management Server (SMS).
  2. Entrez le nom de l’ordinateur cible dans le
    Nom de liste, puis cliquez sur
    Résoudre.

    Selon le réseau et configuration de l’ordinateur cible et les options de résolution de nom disponible, le Moniteur réseau peut répertorier des adresses par défaut comme Ethernet, Token Ring, IP et IPX/XNS associée à l’ordinateur cible.
    • Si le nom est résolu, cliquez sur Enregistrer l’adresse pour ajouter les adresses à la base de données en mémoire adresse de moniteur réseau.
    • Si le nom n’est pas résolu et que vous recevez un message « Adresse introuvable », essayez d’enregistrer l’ordinateur cible sur le réseau, comme décrit dans la Collection d’adresses Pre-Capture : ordinateur cible est déconnecté du réseau section de cet article.
  3. Cliquez sur Fermeret enregistrez la base de données adresse.
Retour au début

Collection d’adresses Pre-Capture : L’ordinateur cible est déconnecté du réseau

Pour utiliser la procédure suivante, vous devez connaître l’adresse de la cible. Microsoft recommande d’utiliser l’adresse media access contrôle (MAC) de l’ordinateur cible. Filtres de capture définie pour des protocoles spécifiques, tels que IP, peuvent provoquer le Moniteur réseau ignorer le reste du trafic de protocoles tels que IPX/XNS.
  1. Dans le menu Capture , cliquez sur
    Adresses, puis cliquez sur Ajouter.
  2. Dans la zone nom , tapez le nom de l’ordinateur cible.
  3. Tapez l’adresse de l’ordinateur cible dans le
    Zone d’adresse , par exemple, tapez l’adresse IP de
    192.247.26.40.
  4. Dans la liste Type , cliquez sur le type d’adresse que vous avez utilisée dans la zone adresse . Par exemple, cliquez sur
    IP.
  5. Cliquez sur OK pour ajouter l’adresse à la base de données en mémoire adresse de moniteur réseau.
  6. Enregistrer la base de données adresse.
Retour au début

Filtres de capture

Les exemples suivants montrent comment configurer plusieurs filtres de capture courant. Microsoft recommande de définir le filtre pour l’adresse MAC de l’ordinateur cible (par exemple, l’adresse ETHERNET), si possible. La capture de jeu de filtres pour des protocoles spécifiques, tels que IP, entraîne le Moniteur réseau ignorer le reste du trafic de protocole, tels que IPX/XNS.

Retour au début

Capturer tout le trafic vers et à partir d’un ordinateur cible

  1. Dans le menu Capture , cliquez sur
    Filtre.
  2. Double-cliquez sur le nœud et (paires d’adresses).
  3. Dans la liste nom sous Station 1, cliquez sur le nom de l’ordinateur cible dont vous souhaitez collecter les données.
  4. Sous orientation, cliquez sur
    <> –, puis cliquez sur OK.
Retour au début

Capturer tout le trafic entre les deux ordinateurs cibles

  1. Dans le menu Capture , cliquez sur
    Filtre.
  2. Double-cliquez sur le nœud et (paires d’adresses).
  3. Dans la liste nom sous Station 1, cliquez sur le nom de l’ordinateur cible dont vous souhaitez collecter les données.
  4. Sous orientation, cliquez sur
    <-->.
  5. Dans la liste nom sous Station 2, cliquez sur le nom de l’autre ordinateur cible dont vous souhaitez collecter les données.
  6. Cliquez sur OK, puis cliquez sur
    OK.
Retour au début

L’enregistrement d’un filtre de Capture

Pour enregistrer un filtre de capture du Moniteur réseau dans un fichier .cf :
  1. Dans le menu Capture , cliquez sur
    Filtre.
  2. Cliquez sur Enregistrer, tapez un nom descriptif dans la
    Nom de fichier puis cliquez sur Enregistrer.
Retour au début

Mémoires tampons de capture

Par défaut, le Moniteur réseau peut enregistrer des captures de 1 gigaoctet (Go). Pour modifier le paramètre par défaut de 1 Mo, cliquez sur Paramètres de la mémoire tampon dans le menu du Moniteur réseau Capture .
  • Vérifiez que la taille de la mémoire tampon est suffisante pour capturer le trafic de réseau suffisante. Pour déterminer une planification par défaut, définissez un filtre de capture approprié par rapport à un client de travail, puis effectuez une test capture. Si la capture enregistré est la même taille que le paramètre de mémoire tampon, vous devez agrandir la mémoire tampon. Une règle générale est d’augmenter la mémoire tampon par un facteur de deux.
  • Vérifiez que les paramètres de mémoire virtuelle (fichier d’échange) de l’ordinateur de l’analyseur peuvent gérer la taille maximale que vous souhaitez enregistrer.
Retour au début

Déclencheurs de capture

Déclencheurs de capture sont généralement définies pour les situations où il est difficile d’éviter de saturer le tampon de capture. Cela se produit fréquemment si une des conditions suivantes est remplie :
  • Vous ne pouvez pas fiable reproduire le problème que vous recherchez à l’aide d’une procédure spécifique.
  • Vous ne pouvez pas efficacement coordonner des actions sur les ordinateurs cibles et de moniteur.
  • Vous devez capturer tout le trafic vers et à partir d’un serveur très chargé. Par exemple, vous devez le faire pour diagnostiquer les violations de verrouillage de fichier.
Pour créer un déclencheur de capture, vous devez généralement dériver un modèle d’octet pour un décalage spécifique à partir d’un exemple de paquet. Par exemple, le décalage pour le SMB « État Code système erreur » est différent pour NBT (NetBIOS Transport sur IP) et l'hébergement Direct SMB (port TCP/UDP 445). L’exemple suivant montre comment définir un déclencheur de capture qui arrête la capture lorsque vous essayez de vous connecter à un partage n’existe pas sur un serveur existant. L’exemple ne contient-elle pas les informations de filtre de capture.

L’exemple de message d’erreur est le code d’erreur WIN32 0xC00000CC. Le code d’erreur s’affiche dans une capture dans SMB 'État Code système erreur' champ 'STATUS_BAD_NETWORK_NAME'. Cette erreur est définie dans 'ntstatus.h'. Le Kit de développement logiciel (SDK) de Microsoft inclut cette définition. Pour plus d’informations, visitez le site Web de Microsoft à l’adresse suivante :Pour plus d’informations, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
113996 Infos : mappage des Codes d’erreur de statut NT aux Codes d’erreur Win32
  1. Sur l’ordinateur de moniteur :
    1. Démarrez le Moniteur réseau.
    2. Dans le menu Capture , cliquez sur
      Déclencheur.
    3. Le déclencheur de, cliquez sur
      Correspondance au modèle.
    4. Sous modèle, cliquez sur à partir de démarrage de la trame, puis cliquez sur Hex.
    5. Dans la zone décalage (en Hex) , tapez
      3f.
    6. Dans la zone modèle , tapez
      cc0000c0

      Remarque: le modèle d’octet little-endian est équivalent à l’erreur DWORD 0xC00000CC.
    7. Sous Action du déclencheur, cliquez sur
      Arrêter la Capture, puis cliquez sur OK.
    8. Dans le menu Capture , cliquez sur
      Démarrer.
  2. Sur l’ordinateur cible :
    1. Cliquez sur Démarrer, puis cliquez sur
      Exécuter.
    2. Dans la zone Ouvrir , tapez
      \\nom_serveur\non valide-nom de partage, où nom_serveur est le nom de serveur valide et
      non valide-nom de partage est le nom d’un partage inexistant.
    3. Cliquez sur OK. Dans le message indiquant que le nom de réseau est introuvable, cliquez sur OK
  3. Sur l’ordinateur de moniteur :
    1. La capture s’arrête automatiquement. Sur le
      Menu fichier , cliquez sur Enregistrer sous.
    2. Tapez un nom descriptif pour la capture dans le
      Zone nom de fichier , puis cliquez sur
      Enregistrer.
Retour au début

Résoudre les problèmes

  • Utiliser des noms descriptifs lorsque vous enregistrez la capture du trafic réseau..

    Lorsque vous enregistrez une capture du Moniteur réseau, il est utile d’utiliser un nom descriptif. Par exemple :
    Computer1_connect_failure_05_dec_2002.adr
    Bien qu’un fichier de capture contient l’heure de la journée, la date ne peut être pas évidente ou vérifiable, en particulier si le fichier est modifié. Vous devrez peut-être modifier les fichiers de capture lors de l’analyse. Par exemple, la correspondance de bloc de Message serveur (SMB) client ou serveur de paquets dépend de l’adresse MAC. Un routeur entre un client et un ordinateur serveur peut dissimuler l’adresse MAC. Le Moniteur réseau ne peut pas analyser entièrement certaines réponses dans cette situation, par exemple les réponses de redirection du système (DFS) distribué fichier. Certaines versions du Moniteur réseau permettant de modifier la capture. Par conséquent, vous pouvez remplacer l’adresse MAC du routeur avec celui du serveur cible. Cela permet à l’analyseur SMB pour rompre le paquet indiqué dans un format plus lisible.
  • Vous assurer que les horloges sont synchronisées entre ordinateurs..

    De nombreuses procédures de diagnostic, vous devez disposer d’un événement ou composant de débogage et les traces du Moniteur réseau du problème. Pour faire référence avec succès la croix à d’autres fichiers journaux avec des traces du Moniteur réseau, vous devez avoir les horloges synchronisées entre ordinateurs.
  • Les informations d’adresse IP enregistrer..

    Étant donné que l’expiration du bail DHCP peut provoquer des modifications d’adresse IP sur le client ordinateurs, vous devez enregistrer ou enregistrer les adresses IP appropriées des informations pendant le Moniteur réseau capture.
  • Essaie de démarrer la capture avant que le problème se produise..

    Capturer le trafic qui est nécessaire et suffisante pour documenter un problème. Pour ce faire, vous devez démarrer une capture avant d’établir la première connexion entre deux ordinateurs cible, puis l’arrêter lorsque le problème se produit. Par exemple, avec le protocole SMB, les opérations de fichiers fonctionnent sur les poignées. Pour connaître le nom du fichier, vous devez capturer la fichier ouvrir (ou créer) opération.
  • Essaie de capturer des « succès » et « failure »..

    Si possible, capturez les traces où le problème se produit et où il ne se produit pas. Il est préférable de capturer ces traces sur le même ordinateur cible. Si vous ne pouvez pas le faire, essayez de capturer à partir de la configuration possible du plus proche et l’environnement réseau que vous pouvez créer. Par exemple, les deux ordinateurs cibles doivent communiquer avec le même serveur, ou le même ordinateur client doit communiquer avec les serveurs configurés de la même façon.
  • Document actions qui génèrent le trafic réseau significatif..

    Les actions que vous effectuez sur la cible du document ordinateurs afin de générer un trafic réseau important. Par exemple, dans un environnement IP, vous pouvez simplifier la référence de la capture à l’activité des utilisateurs, l’activité de programme ou activité des lots de fichiers. Pour ce faire, exécuter des commandes de unique ping à une adresse IP unique, juste avant les activités, puis après les activités.
Retour au début

Références

Pour plus d’informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :

810156 Message d’erreur « Aucun pilote de réseau a été trouvé » après l’installation du Moniteur réseau

261327 comment ajouter un analyseur supplémentaire au Moniteur réseau
164961 installation du Moniteur réseau ne trouve l’Installation de la Version précédente
Pour plus d’informations sur l’utilitaire de Capture du Moniteur réseau inclus dans Windows XP, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
Description de 310875 de l’utilitaire de Capture du Moniteur réseau


Retour au début
Propriétés

ID d'article : 812953 - Dernière mise à jour : 27 janv. 2017 - Révision : 1

Commentaires