Сбор данных с помощью монитора сети

  • Статья

Из этой статьи вы узнаете, как использовать Microsoft Network Monitor 3.4, который является средством для сбора сетевого трафика.

Применимо к: Windows 10

Примечание.

Монитор сети — это архивный анализатор протоколов, который больше не разрабатывается. Кроме того, 25 ноября 2019 г. был прекращен анализ сообщений (MMA) Microsoft Message Analyzer (MMA), а 25 ноября 2019 г. были удалены его пакеты для скачивания с сайтов microsoft.com. В настоящее время в разработке не существует замены Microsoft Message Analyzer. Для аналогичных функций рассмотрите возможность использования другого средства анализатора сетевых протоколов сторонних поставщиков. Дополнительные сведения см. в руководстве по работе с анализатором сообщений Майкрософт.

Чтобы приступить к работе, скачайте средство "Монитор сети". При установке сетевого монитора он устанавливает свой драйвер и подключает его ко всем сетевым адаптерам, установленным на устройстве. То же самое можно увидеть в свойствах адаптера, как показано на следующем рисунке:

Снимок экрана: свойства сетевых адаптеров.

Когда драйвер подключается к сетевому интерфейсу карта (NIC) во время установки, сетевой адаптер повторно инициализируется, что может вызвать кратковременный сбой сети.

Запись трафика

  1. Запустите netmon с повышенными привилегиями, выбрав Запуск от имени администратора.

    Снимок экрана: запуск результатов поиска для Netmon.

  2. Откроется монитор сети со всеми сетевыми адаптерами. Выберите сетевые адаптеры, в которых вы хотите захватить трафик, выберите Создать запись, а затем нажмите кнопку Пуск.

    Снимок экрана: параметр

  3. Воспроизведите проблему, и вы увидите, что сетевой монитор перехватывает пакеты по проводу.

    Снимок экрана: сводка по сетевым пакетам в кадре.

  4. Нажмите кнопку Остановить и перейдите к файлу>Сохранить как , чтобы сохранить результаты. По умолчанию файл будет сохранен как .cap файл.

Сохраненный файл захватил весь трафик, который передается в выбранные сетевые адаптеры на локальном компьютере и из него. Однако вы заинтересованы только в том, чтобы изучить трафик или пакеты, связанные с конкретной проблемой подключения, с которой вы столкнулись. Поэтому вам потребуется отфильтровать сетевой захват, чтобы просмотреть только связанный трафик.

Часто используемые фильтры

  • Ipv4.address=="client ip" and ipv4.address=="server ip"
  • Tcp.port==
  • Udp.port==
  • Icmp
  • Arp
  • Property.tcpretranmits
  • Property.tcprequestfastretransmits
  • Tcp.flags.syn==1

Совет

Если вы хотите отфильтровать запись для определенного поля и не знаете синтаксис для этого фильтра, просто щелкните это поле правой кнопкой мыши и выберите Добавить выбранное значение в фильтр отображения.

Трассировки сети, собираемые netsh с помощью команд, встроенных в Windows, имеют расширение ETL. Однако эти ETL-файлы можно открыть с помощью сетевого монитора для дальнейшего анализа.

Дополнительная информация