Пришло время запустить сетевой монитор. Чтобы управлять перехватом вручную, используется меню перехвата. Однако прежде чем нажать Start, необходимо задать размер буфера. Выбор настроек буфера из меню перехвата позволит сконфигурировать буфер. Используемый по умолчанию максимальный размер буфера перехвата, равный 8 мегабайтам, меньше объема оперативной памяти, установленной на машине. Хотя можно использовать виртуальную память для буфера перехвата, лучше этого не делать для гарантии, что критически важная информация кадра надежно перехвачена. Microsoft Network Monitor пошлет предупреждение при попытке ввести размер буфера перехвата больше физической памяти машины. Сообщение говорит: "Запрашиваемый размер буфера может вызывать потерю кадров в связи с процессом подкачки. Вы уверены, что хотите разместить буфер этого размера?"
Помимо выбора размера буфера можно также выбрать размер кадра, который желательно перехватывать. Например, если интересует только информация заголовка для определенного протокола, то можно задать здесь эту информацию и не тратить пространство на перехват лишних данных кадра. Какой размер кадра перехватывается, зависит от определенного исследуемого протокола. Например, так как мы знаем, что нормальный заголовок Ethernet равен 14 байтам, можно задать кадр перехвата в 14 байтов и перехватывать только заголовки Ethernet. Это позволит нам перехватить 73142 кадра с помощью одномегабайтного буфера перехвата. Можно было бы использовать 34-байтовый кадр для перехвата заголовка IP (14 байтов для заголовка Ethernet и 20 байтов для заголовка IP). Это очень полезно при исследовании проблем передачи файлов, которые часто содержат 1200 или больше байтов данных пользователя, которые могут быстро заполнить буфер перехвата.
Обновление окна статистики перехвата, показанного на рис., создает для центрального процессора нагрузку, которая может быть излишней. Выбирая режим выделенного (dedicated) перехвата в меню перехвата, можно избежать нагрузки, связанной с обновлением изображения, и тем самым предоставить дополнительные ресурсы для перехвата кадров. Как показано на рис, в режиме выделенного перехвата имеется возможность переключения в нормальный режим, выбрав его из меню перехвата. Можно сделать все эти переключения во время работы Microsoft Network Monitor и не потерять кадры. Кроме того, можно приостановить Netmon и продолжить работу приложения в этом режиме.
Когда данные перехвачены и применен фильтр вывода данных, наступает время анализировать кадры. Верхняя панель является итоговой панелью, которая содержит информацию перечисленную ниже. Эти столбцы можно переупорядочить, нажимая заголовок столбца и перетаскивая в новое желаемое положение.
• Номер кадра. Microsoft Network Monitor присваивает кадру номер для целей учета. Он в реальности не появляется в самом кадре, но добавляется программой, чтобы упростить ссылку на информацию, находящуюся в перехваченных данных.
• Время. Время, также присваиваемое Microsoft Network Monitor, позволяет узнать, сколько времени проходит между кадрами. Это предоставляет полезную информацию при выполнении анализа сетевой производительности. Время, которое выводится в этом столбце, конфигурируется в параметрах меню Display. Существуют три возможности: время дня, секунды с начала перехвата и секунды от прохождения предыдущего кадра. Выбирая время дня, можно сопоставить информацию из журнала событий Windows с информацией, перехваченной Microsoft Network Monitor. Такое сопоставление допустимо для мощного поиска неисправностей при появлении ошибочных сообщений.
• Адрес MAC источника. Это устройство, которое прежде всего создает кадр. Есть три возможности для вывода адреса MAC, задаваемые из меню Options. Можно выбрать вывод имени, которое присвоено адресу MAC в адресной книге Microsoft Network Monitor; можно выбрать вывод просто адреса MAC (поведение по умолчанию); или можно выбрать вывод имени поставщика, связанного с первыми шестью байтами адреса MAC. Это бывает полезно при попытке найти неизвестное устройство в сети.
• Адрес MAC места назначения. Это аппаратный адрес места назначения пакета.
• Протокол. Это основной протокол кадра.
• Описание. Это поле предоставляет суммарную информацию о кадре Описание также конфигурируемо с помощью параметров меню Display. Существует две возможности: последний протокол в кадре или автоматический выбор на основе используемого фильтра вывода. Часто можно собрать достаточно информации из сводки, чтобы получить представление о том, что происходит в сеансе перехвата. Трехходовое квитирование TCP легко обнаружить по описанию. Здесь часто показывается информация о флагах TCP.
• Другой адрес источника. Чтобы увидеть это поле, следует переместить ползунок в нижней части итоговой панели. Другой адрес источника является адресом другого протокола, содержащимся в кадре.
• Другой адрес места назначения. Это адрес другого протокола, содержащийся в кадре.
• Тип другого адреса. Этот адрес сообщает, какой протокол содержат поля другого адреса.
Детализированная панель находится в середине. Здесь происходит большая часть анализа. Microsoft Network Monitor использует файлы .dll и файлы .ini для синтаксического разбора протокола. Существуют, например, файлы TCP.dll и TCP.ini, хранящиеся в каталоге синтаксического разбора Microsoft Network Monitor. Чтобы правильно проанализировать протоколы, которые Microsoft Network Monitor не понимает, необходим анализатор .dll и файл .ini. Можно написать их самостоятельно или получить их от независимых поставщиков.
Шестнадцатеричная панель находится в нижней части и содержит специальную информацию об анализируемом кадре. Например, рассматривая трассировки протокола РОРЗ, мы замечаем, что вся информация находится в шестнадцатеричной трассировке, а не в детализированной панели. Знание того, как читать шестнадцатеричную трассировку, поможет создать специальные фильтры перехвата.
На рис. изображен транспортный кадр NetBIOS, который переносится поверх TCP, IP и протокола Ethernet. Этот конкретный кадр является дежурным кадром сеанса. Если требуется создать фильтр перехвата, который перехватывает только дежурные кадры сеанса NetBIOS (возможно, для анализа влияния дежурного трафика NetBIOS на сеть, нам понадобится использовать смещение образца. Мы расширяем раздел NBT трассировки, щелкая на знаке плюс рядом с итоговой строкой NBT. Затем выбираем строку NBT: packet type. Отметим, что соответствующий раздел шестнадцатеричной трассировки автоматически подсвечивается, когда мы выбираем различные строки в детализированной панели. Когда мы выбираем packet type = session keep alive, подсвечивается шестнадцатеричное число 85 в строке 30. Теперь мы можем отсчитывать, пока не увидим, что шестнадцатеричное число 85 находится в смещенной позиции шестнадца-теричного 36 с начала кадра. Вместо отсчета можно посмотреть в нижний правый угол экрана Microsoft Network Monitor. Там мы видим, что это смещение 54 (десятичное) х36 (шестнадцатеричное). Эту информацию можно ввести в шаблон совпадения фильтра перехвата.
Сетевой монитор SMS 1.2 включает несколько мастеров, которые помогут найти некоторые важные данные. Это отчеты (они не являются в действительности мастерами) верхнего пользователя и распределения протокола. Другие функции мастеров — поиск всех маршрутизаторов в файле перехвата и поиск всех имен в файле захвата, а также они могут разрешать адреса по именам. Недостаток этих отчетов в том, что не существует способа сохранить информацию помимо печати экрана (print screen) для перехвата отчета с экрана. Это существенный недостаток, так как часто полезно распечатать данные, в частности, отчет верхнего пользователя. Рассмотрим отчет верхнего пользователя.
Отчет верхнего пользователя активируется в режиме вывода (когда выводятся перехваченные данные в противоположность просмотру статистики сеанса). Отчет выбирается из меню Tools и имеет возможность показать, сколько выводить верхних пользователей, и основывается ли список на адресе канала данных или на адресе MAC. Можно также применить текущий фильтр вывода или выбрать игнорирование фильтра вывода и основывать отчет на всем файле перехвата. Как можно видеть на рис., отчет перечисляет имя, адрес, число кадров и процент числа кадров и размера кадра. Эта информация может помочь при планировании и расширении сети, а также при обнаружении нарушений эксплуатации сети.
Отчет о распределении протоколов доступен таким же образом, как и отчет верхних пользователей: из меню Tools в режиме вывода. Возможности этого отчета включают перечисление всех протоколов в кадре, сообщение о последнем протоколе в кадре и сообщение о первом действующем в кадре протоколе. Кроме того, можно выбрать дальнейшее ограничение на отчет, применяя текущий фильтр вывода к отчету. Этот отчет может стать ущественной помощью при попытке выявить аномалии в сети. Однако чтобы эта информация была наиболее полезна, необходимо знать, каким является нормальное распределение для сети. Если, например, сеть обычно имеет очень немного кадров ARP_RARP, но внезапно ими заполняется, есть хорошая исходная точка для поиска. Если же произошел внезапный всплеск пакетов UDP, это будет иметь другое значение. Знание того, что является нормальным для сети, трудно переоценить. Как можно видеть на рис. отчет перечисляет каждый протокол, число кадров и байтов и процент для перехваченных данных.
Поиск сетевых адресов по имени позволяет вводить имя компьютера, а поиск найдет соответствующий адрес МАО Это не очень сложно выполнить в сети TCP/IP, так как можно сделать ping имени хоста и затем получить информацию из кэша ARP с помощью команды ARP -а. Однако он может также использовать SAP, DNS и запрос базы данных SMS, поэтому это может быть более мощное решение. Если происходит обычная проверка адреса MAC, часто быстрее перейти в окно CMD и сделать ping и ARP -а. Как мы видим на рис, когда имя разрешено, будет выведена вся найденная о нем информация. Выбор только тех служб, которые присутствуют в сети, может оптимизировать этот процесс. Кроме того, можно ускорить процесс, делая локальную базу данных ADR первым источником, который будет запрашиваться с помощью кнопок "плюс" и "минус" рядом окном выбора службы.
При запуске Systems Management Server Network Monitor версии 2.0 (V5.00646) можно подумать, что встретился со старым другом. Это полная версия Windows 2000 Network Monitor. Интерфейс практически такой же, и большинство утилит работает так же. Однако некоторые вещи изменились и появились новые свойства.
Новые свойства
Программы-эксперты — шесть экспертов, поставляемых вместе с Network Monitor 2.0, перечислены ниже.
• Эксперт среднего времени ответа сервера вычисляет среднее время, которое требуется серверу для ответа на запрос пользователя данных. Он может использовать SMB, специальные порты TCP или специальные сокеты IPX для получения этих чисел, выраженных в секундах.
• Распределение свойств вычисляет статистики кадров для определенного свойства, найденного в кадрах перехваченных данных. Эти свойства могут быть весьма специальными, такими как прием HTTP.
• Утилита объединения протоколов рекомбинирует данные транзакции которые были посланы по сети в множестве кадров. Этот эксперт может собрать все фрагменты вместе на основе информации, которая содержится в кадрах.
• Эксперт распределения протоколов проверяет перехваченные данные и предоставляет статистики о пакетах почти таким же образом, как мастер распределения протоколов в продукте 1.2.
• Эксперт пересылки TCP находит кадры TCP, которые были переслан на один и тот же компьютер. Это полезно при выявлении проблемнь компьютеров.
• Эксперт верхних пользователей находит верхних отправителей и получателей данных в файле перехвата, проверяя адреса источника и места назначения, содержащиеся в кадрах.
SMS 2.0 Platform Software Development Kit (SDK) позволяет разработать своих собственных экспертов, их можно также купить у независимых поставщиков. Эксперты запускаются из меню tools expert при работе в режиме показа. Как можно видеть на рис., эксперт среднего времени ответа сервера может быстро выделить проблему со временем ответа сети. На рисунке сервер 11.0.0.206 имеет среднее время ответа 2.378751 секунд, в то время как все остальные места назначения имеют времена ответа в долях секунды. Чтобы еще больше ухудшить ситуацию, этот медленный сервер используют десять пользователей. Раньше этот процесс превращался в десяток телефонных вызовов (что затрудняло выявление и исправление проблемы). Но теперь, когда благодаря мониторингу и анализу наши действия носят профилактический характер, можно решить проблему без всяких телефонных звонков. Пользователь только после решения проблемы заметит, что сервер стал видимо работать быстрее.
Эксперт пересылки TCP на рис. сообщает, что на самом деле существует несколько пересылок, но ни одна из них не идет на машину или из машины с длинным временем ответа. Так как это происходит не на коммутируемой магистрали, то пересылки могут быть вызваны сетевой перегрузкой, указывающей на возможную причину некоторых задержек.
Утилита объединения протоколов сообщает нам, что в перехваченных данных не существует фрагментированных пакетов, поэтому эта возможная причина может быть отброшена.
Рассматривая эксперт верхних пользователей, мы видим, что пять из десяти верхних пользователей соединены с сервером 11.0.0.206, и наш эксперт протоколов также говорит, что существует большое число соединений RPC с одной и той же машиной. Мы исследуем этот вопрос и находим, что 11.0.0.206 является более старой машиной, находится на 10-мегабитном сегменте Ethernet и даже не имеет в себе платы PCI Ethernet. Очевидно, что мы обнаружили причину слабой производительности. Пользователи не жаловались на нее раньше, потому что "она всегда медленная" и они "научились с этим жить". Замена старой платы на 100-мегабитную плату PCI решает эту проблему достаточно просто.
Как можно видеть на рис, эксперты записывают свою работу в окне статуса экспертов. Мониторинг этого окна удержит вас от попытки выполнить две программы-эксперта в одно время (что породит сообщение об ошибке). Это важно помнить, так как выполнение эксперта на большом файле перехвата может потребовать много времени на медленной машине, а окно статуса эксперта является единственным местом, которое позволит узнать, что компьютер не заблокирован. В это время можно заметить, что использование центрального процессора доходит до 100%, поэтому не надо выполнять экспертов на производственных серверах, так как это вызовет жалобы сообщества пользователей.
Инструмент управления монитором непрерывно следит в сети за предопределенными событиями. Эти события перечислены ниже:
• Монитор перенаправления ICMP создает событие, когда маршрутизатор в сети перенаправляет кадры.
• Монитор маршрутизатора IP создает событие, когда маршрутизатор в сети отказывает.
• Монитор IPRange создает событие, когда кадр имеет адрес источника, который находится вне диапазона адресов, заданных администратором как допустимые для определенной сети.
• Монитор маршрутизатора IPX создает событие, когда в сети отказывает маршрутизатор IPX.
• Мониторы DHCP и WINS создают событие, когда в сети будет обнаружен работающий недопустимый или неавторизованный сервер DHCP или сервер WINS.
• Монитор SynAttack наблюдает за сигналами SynAttack в сети. Эта атака будет создавать большое число не отвечающих соединений на сетевом сервере, что в свою очередь поглощает большой объем ресурсов. Подобно пиявкам, synattack будут высасывать жизнь из сервера. Это атака отказа в обслуживании, и монитор SynAttack знает, как следить за характеристиками, которые указывают, что происходит атака этого типа.
• Монитор безопасности обнаруживает неавторизованные экземпляры сетевого монитора, выполняющиеся в сети.
Когда утилита управления монитором используется для конфигурирования и активации определенного монитора локально или удаленно, монитор проверяет кадры, проходящие мимо машины, так как он ищет определенное свойство, связанное с событием, которое он ищет. Когда маршрутизатор прекращает работу, он больше не объявляет себя в сети. Инструмент управления монитором может заметить отсутствие этих объявлений монитора в течение определенного периода времени. Тогда он создаст событие и откроет инструмент сетевого монитора в окне просмотра событий.
Чтобы использовать монитор, должна выполняться служба управления монитором. Она устанавливается при установке Network Monitor 2, но служба монитора по умолчанию задана для управления вручную. Помимо мониторов, которые поставляются вместе с Network Monitor 2, можно использовать заказные мониторы или мониторы независимых поставщиков, чтобы еще больше расширить функциональность продукта. Нельзя выполнить утилиту управления монитором на любой системе, которая не удовлетворяет требованиям выполнения приложения Network Monitor 2. Кроме того, он требует административных прав на компьютере, выполняющем утилиту управления монитором. Чтобы использовать службу событий, требуется WBEM (управление предприятием на основе Windows), и вы получите это приглашение, запустив утилиту управления монитором на компьютере, который не имеет установленной WBEM. Windows 2000 имеет WBEM по умолчанию, и на машине Windows NT 4.0 вы получаете WBEM, когда устанавливаете административные инструменты SMS 2.0. Можно запустить утилиту из ММС, щелкая правой кнопкой мыши по сетевому монитору и выбирая запуск утилиты управления сетевого монитора, или можно создать ссылку на mcsui.exe (что легче и быстрее). Кроме того, добавив
Нежелательно выполнять утилиту управления монитором на той же машине, которая выполняет первичный сайт SMS, лучше (в связи с требованиями ресурсов) настроить отдельную машину для выполнения мониторинга. Затем можно будет использовать эту машину для мониторинга нескольких удаленных компьютеров, а также для выполнения необслуживаемых трассировок сетевого монитора и триггеров. По сути он станет сетевым управляющим компьютером.
Посмотрим, как можно сконфигурировать монитор для сигнализации о том, что один из маршрутизаторов отключился. На рис. установленные мониторы перечислены в левой панели вывода. Включенные мониторы перечислены в правой панели вывода. Включите монитор, выбрав его из левого списка и нажимая кнопку Enable. Затем утилита управления сетевым монитором предложит сконфигурировать включенный монитор. Если вам не нужно конфигурировать монитор в это время, в ответ нажмите по (нет). Не сконфигурированный монитор будет показан как включенный в правой панели. Если двинуться дальше и сконфигурировать монитор, то появится экран, изображенный на рис. Чтобы проследить за определенным маршрутизатором, надо ввести IP-адрес в поле слева на экране и выбрать число секунд, после которых маршрутизатор считается отключенным, помещая это значение в поле внизу слева на экране. После этого нажмите кнопку Set monitor configuration (Задать конфигурацию монитора) в нижней правой стороне экрана
