Фильтрация данных перехвата
В сетевом мониторе используются два вида фильтров. Первым является фильтр перехвата, а вторым — фильтр вывода. Оба они работают аналогичным образом. Фильтр работает в некотором смысле как запрос, применяю щийся к базе данных. Он позволяет выбрать часть или подмножество доступных данных. Например, если удалось сузить проблему до определенного компьютера, то можно отфильтровать весь остальной трафик и сосредоточиться только на этом компьютере. Еще одним свойством является возможность сохранить фильтры и использовать их позже (несколько полезных фильтров находится на сайте издательства "ЛОРИ". Это пригодится при попытке исправить определенную проблему. Можно сохранить множество данных, а после выполнения изменений фильтр выполняется снова, позволяя тем самым проследить за произошедшими изменениями.
Фильтр перехвата Чтобы создать фильтр перехвата, из меню надо выбрать пункт filter. Как показано на рис, можно фильтровать данные по протоколу, по адресу или по образцу данных (или по комбинации всех трех).
Если желательно фильтровать по протоколу, необходимо выбрать строку SAP/ETYPE и нажать кнопку Edit line. Появится меню, позволяющее выбрать тип протокола, который желательно отфильтровать. Чтобы выбрать один определенный протокол, проще всего отключить все протоколы и затем включить один протокол, который желательно проверить. Хотя диалоговые окна довольно неудобны для использования, можно быстро перейти к разделу, щелкая по именованному заголовку и вводя затем первую букву требуемого протокола или адреса. Это немного лучше, чем прокручивать длинный список адресов.
Если вас интересует только одна машина, выберите адресные пары и снова нажмите кнопку Edit line (или просто сделайте двойной щелчок по выражению). Этот фильтр работает одинаково в режиме перехвата и режиме вывода и является отличным инструментом, используемым при анализе общения между серверами и рабочими станциями или между принтерами.
Фильтр перехвата на совпадении с образцом немного сложнее для использования, так как он требует определенных знаний о месте кадра, где может появиться определенный образец. Для поиска этой информации используется анализ существующей перехваченной информации в шестнад-цатеричной панели. Когда будет найден шаблон для определенного примера, создайте фильтр перехвата и протестируйте его для проверки, что он делает то, что нужно. Мы рассмотрим это при анализе шестнадцатеричной панели.
Фильтр вывода данных Фильтр вывода данных работает почти так же, как и фильтр перехвата, но действует на уже перехваченных данных. Он не изменяет содержимое буфера перехвата. С помощью фильтра вывода данных можно выбрать определенный протокол, адрес или свойство данных, чтобы помочь отсортировать данные. Выборка делается таким же образом, как и при создании фильтра перехвата. Однако существует одно важное различие: можно применять также логические операции AND, OR или NOT. Эта возможность предоставляет больший диапазон выбора при создании фильтра, чем это доступно в режиме фильтра перехвата. Как показано на рис. 9.7, появляется меню, позволяющее выбрать адрес, который желательно проверить. Существует возможность включить или исключить адрес. Можно также выбрать направление потока информации. Выберите имя для станции 1 в левом столбце, стрелку направления (помните, что вершина стрелки указывает направление потока данных), а затем выберите получателя в столбце станции 2. Например,, на рис. фильтр включает трафик данных из ED1750 во все станции сети, а также трафик из любой станции сети в ED1750. Это полезно при анализе образцов трафика сервера.
