В сетевом мониторе используются два вида фильтров. Первым является фильтр перехвата, а вторым — фильтр вывода. Оба они работают аналогичным образом. Фильтр работает в некотором смысле как запрос, применяю щийся к базе данных. Он позволяет выбрать часть или подмножество доступных данных. Например, если удалось сузить проблему до определенного компьютера, то можно отфильтровать весь остальной трафик и сосредоточиться только на этом компьютере. Еще одним свойством является возможность сохранить фильтры и использовать их позже (несколько полезных фильтров находится на сайте издательства "ЛОРИ". Это пригодится при попытке исправить определенную проблему. Можно сохранить множество данных, а после выполнения изменений фильтр выполняется снова, позволяя тем самым проследить за произошедшими изменениями.
Фильтр перехвата Чтобы создать фильтр перехвата, из меню надо выбрать пункт filter. Как показано на рис, можно фильтровать данные по протоколу, по адресу или по образцу данных (или по комбинации всех трех).
Если желательно фильтровать по протоколу, необходимо выбрать строку SAP/ETYPE и нажать кнопку Edit line. Появится меню, позволяющее выбрать тип протокола, который желательно отфильтровать. Чтобы выбрать один определенный протокол, проще всего отключить все протоколы и затем включить один протокол, который желательно проверить. Хотя диалоговые окна довольно неудобны для использования, можно быстро перейти к разделу, щелкая по именованному заголовку и вводя затем первую букву требуемого протокола или адреса. Это немного лучше, чем прокручивать длинный список адресов.
Если вас интересует только одна машина, выберите адресные пары и снова нажмите кнопку Edit line (или просто сделайте двойной щелчок по выражению). Этот фильтр работает одинаково в режиме перехвата и режиме вывода и является отличным инструментом, используемым при анализе общения между серверами и рабочими станциями или между принтерами.
Фильтр перехвата на совпадении с образцом немного сложнее для использования, так как он требует определенных знаний о месте кадра, где может появиться определенный образец. Для поиска этой информации используется анализ существующей перехваченной информации в шестнад-цатеричной панели. Когда будет найден шаблон для определенного примера, создайте фильтр перехвата и протестируйте его для проверки, что он делает то, что нужно. Мы рассмотрим это при анализе шестнадцатеричной панели.
Фильтр вывода данных Фильтр вывода данных работает почти так же, как и фильтр перехвата, но действует на уже перехваченных данных. Он не изменяет содержимое буфера перехвата. С помощью фильтра вывода данных можно выбрать определенный протокол, адрес или свойство данных, чтобы помочь отсортировать данные. Выборка делается таким же образом, как и при создании фильтра перехвата. Однако существует одно важное различие: можно применять также логические операции AND, OR или NOT. Эта возможность предоставляет больший диапазон выбора при создании фильтра, чем это доступно в режиме фильтра перехвата. Как показано на рис. 9.7, появляется меню, позволяющее выбрать адрес, который желательно проверить. Существует возможность включить или исключить адрес. Можно также выбрать направление потока информации. Выберите имя для станции 1 в левом столбце, стрелку направления (помните, что вершина стрелки указывает направление потока данных), а затем выберите получателя в столбце станции 2. Например,, на рис. фильтр включает трафик данных из ED1750 во все станции сети, а также трафик из любой станции сети в ED1750. Это полезно при анализе образцов трафика сервера.
При тех мощных возможностях, которые заложены в сетевом мониторе, очень важно принять соответствующие меры безопасности для защиты сети от неправильного использования этого инструмента. Компания Microsoft уже реализовала одно свойство безопасности в серверных продуктах, которое состоит в том, что сетевой монитор будет контролировать трафик только между сервером, на котором он выполняется, и остальной сетью. Это защитит вас от некорректного использования. Однако версия, которая поставляется вместе с Systems Management Server (SMS), способна перехватывать кадры, посланные на компьютер или из любого компьютера в сети, а также перехватывать кадры в удаленной сети.
Для сетевого монитора можно задать два пароля с помощью пиктограммы агента мониторинга в панели управления; это пароль вывода и пароль перехвата, показанные на рис. Пароль вывода разрешает доступ к сохраненному файлу перехвата (.cap). С помощью этого пароля разрешается только открыть сохраненный ранее файл перехвата. Он не разрешает перехватывать новые данные. Это применимо только к Microsoft Network Monitor, установленному на машине, на которой пароль был задан. Он также не защищает файл .cap от просмотра в сети с помощью другого Microsoft Network Monitor. Другими словами, это защита с помощью пароля установки программы и связанного с ней агента — а не данных.
Пароль перехвата разрешает неограниченный доступ к сетевому монитору. С помощью этого пароля можно открывать сохраненные файлы перехвата, а также создавать новые перехваты данных. Пароль запрашивается при каждом запуске Microsoft Network Monitor. Если ввести пароль перехвата, то имеется полный доступ ко всем свойствам; если ввести пароль вывода, то можно выводить только файлы .cap.
Важно задавать эти пароли на удаленных рабочих станциях и серверах, на которых установлен агент. Если служба выполняется без защиты паролем, то любой человек с версией SMS сетевого монитора может соединиться с вашим сервером и использовать его для перехвата данных из сети. Эти пароли должны быть защищены, поскольку не существует способа восстановить их иначе, как удалить и снова выполнить установку Microsoft Network Monitor и связанных с ним агентов. Удаление ключа защиты в службе ВН в реестре не работает для восстановления при потерянном пароле.
Возможно, наиболее мощным дополнительным свойством, предоставляемым полной версией сетевого монитора, является возможность соединяться с удаленными агентами, выполняющимися на других машинах. Делая это, можно увидеть сетевой трафик, обычно невидимый в сегментированной разделенной коммутаторами сети.
Используя свойство соединения с удаленной сетью, версия Netmon SMS может соединиться с другим сервером NT, рабочей станцией или машиной Windows 95 или 98, на которой установлен и выполняется агент сетевого монитора. Агент сетевого монитора устанавливается как служба Windows NT и при желании может быть настроен для автоматического запуска для облегчения использования удаленного поиска неисправностей. При желании служба может быть оставлена с ручным управлением и запускаться удаленно с помощью утилиты NETSVC из NT Resource Kit. Эта утилита позволяет запрашивать, перечислять, запускать и останавливать службы на удаленных машинах Windows NT.
Установка и конфигурирование агента сетевого монитора Windows 9.x Установка и работа агента сетевого монитора Windows 9.x не совсем прямолинейна. Агент находится на на сайте издательства "ЛОРИ" в каталоге \admin\nettools\Netmon и состоит из двух частей. Имеется драйвер протокола, который предоставляет показатели производительности системному монитору для адаптеров NDIS 3.1. Это позволяет системному монитору просматривать статистику сетевого трафика. Агент сетевого монитора использует некоторые функции, предоставляемые драйвером протокола для передачи информации назад в приложение Netmon. Вот шаги, необходимые для установки агента сетевого монитора Windows 9.x.
1. Откройте сетевой апплет в панели управления и щелкните по кнопке Add.
2. Выберите тип сетевого компонента и сделайте двойной щелчок по службе.
3. В диалоговом окне службы щелкните по кнопке Have disk.
4. Для установки из каталога используйте каталог на \admin\nettools\ Netmon на компакт-диске Windows 9.x.
5. В окне выбора сетевой службы щелкните по агенту Microsoft Network Monitor и подтвердите ОК.
Приведенные выше шаги установят драйвер протокола и агента. Чтобы сконфигурировать агент, вернитесь в сетевой апплет, выберите Microsoft Network Monitor Agent и щелкните по свойствам. Это приведет к появлению окна, аналогичного тому, которое мы видели ранее для машин Windows NT, где можно присвоить пароль перехвата и пароль вывода. Этот пароль должен задаваться, когда агент не выполняется и системный монитор не выводит данные производительности сети.
Когда агент будет установлен и сконфигурирован, наступает время для его запуска. Это делается из команды запуска (run) вводом nmagent. Агент может останавливаться из команды запуска (run) с помощью ввода nmagent -close. Агент можно также запустить как службу на машине Windows 9.x, делая следующие изменения в реестре.
Так как агент выполняется теперь как служба на машине Windows 9.x, он будет продолжать выполняться независимо от того, зарегистрирован на компьютере пользователь или нет. Чтобы остановить службу в любое время, используйте команду nmagent -close из окна запуска (run).
Соединение с удаленными агентами
Чтобы соединиться с удаленным агентом, выберите networks из меню capture. Появившееся окно выбора сети перехвата перечисляет все установленные на машине сетевые адаптеры и один дополнительный адаптер, называемый удаленным (remote). По умолчанию его состояние определяется как разъединенное и неизвестного типа. При успешном запросе сетевого агента можно просто сделать двойной щелчок по удаленной неизвестной сети, и появится окно, показанное на рис. Введите имя машины одного из агентов, который будут возвращен этим запросом, и должно будет установиться соединение. Если агент защищен паролем, то появится диалоговое окно, запрашивающее пароль. После соединения сеанс работает таким же образом, как и локальный перехват. Можно также настроить буфера перехвата и сконфигурировать фильтр перехвата, но различия в способе работы сеанса нет.
При запуске Systems Management Server Network Monitor версии 2.0 (V5.00646) можно подумать, что встретился со старым другом. Это полная версия Windows 2000 Network Monitor. Интерфейс практически такой же, и большинство утилит работает так же. Однако некоторые вещи изменились и появились новые свойства.
Новые свойства
Программы-эксперты — шесть экспертов, поставляемых вместе с Network Monitor 2.0, перечислены ниже.
• Эксперт среднего времени ответа сервера вычисляет среднее время, которое требуется серверу для ответа на запрос пользователя данных. Он может использовать SMB, специальные порты TCP или специальные сокеты IPX для получения этих чисел, выраженных в секундах.
• Распределение свойств вычисляет статистики кадров для определенного свойства, найденного в кадрах перехваченных данных. Эти свойства могут быть весьма специальными, такими как прием HTTP.
• Утилита объединения протоколов рекомбинирует данные транзакции которые были посланы по сети в множестве кадров. Этот эксперт может собрать все фрагменты вместе на основе информации, которая содержится в кадрах.
• Эксперт распределения протоколов проверяет перехваченные данные и предоставляет статистики о пакетах почти таким же образом, как мастер распределения протоколов в продукте 1.2.
• Эксперт пересылки TCP находит кадры TCP, которые были переслан на один и тот же компьютер. Это полезно при выявлении проблемнь компьютеров.
• Эксперт верхних пользователей находит верхних отправителей и получателей данных в файле перехвата, проверяя адреса источника и места назначения, содержащиеся в кадрах.
SMS 2.0 Platform Software Development Kit (SDK) позволяет разработать своих собственных экспертов, их можно также купить у независимых поставщиков. Эксперты запускаются из меню tools expert при работе в режиме показа. Как можно видеть на рис., эксперт среднего времени ответа сервера может быстро выделить проблему со временем ответа сети. На рисунке сервер 11.0.0.206 имеет среднее время ответа 2.378751 секунд, в то время как все остальные места назначения имеют времена ответа в долях секунды. Чтобы еще больше ухудшить ситуацию, этот медленный сервер используют десять пользователей. Раньше этот процесс превращался в десяток телефонных вызовов (что затрудняло выявление и исправление проблемы). Но теперь, когда благодаря мониторингу и анализу наши действия носят профилактический характер, можно решить проблему без всяких телефонных звонков. Пользователь только после решения проблемы заметит, что сервер стал видимо работать быстрее.
Эксперт пересылки TCP на рис. сообщает, что на самом деле существует несколько пересылок, но ни одна из них не идет на машину или из машины с длинным временем ответа. Так как это происходит не на коммутируемой магистрали, то пересылки могут быть вызваны сетевой перегрузкой, указывающей на возможную причину некоторых задержек.
Утилита объединения протоколов сообщает нам, что в перехваченных данных не существует фрагментированных пакетов, поэтому эта возможная причина может быть отброшена.
Рассматривая эксперт верхних пользователей, мы видим, что пять из десяти верхних пользователей соединены с сервером 11.0.0.206, и наш эксперт протоколов также говорит, что существует большое число соединений RPC с одной и той же машиной. Мы исследуем этот вопрос и находим, что 11.0.0.206 является более старой машиной, находится на 10-мегабитном сегменте Ethernet и даже не имеет в себе платы PCI Ethernet. Очевидно, что мы обнаружили причину слабой производительности. Пользователи не жаловались на нее раньше, потому что "она всегда медленная" и они "научились с этим жить". Замена старой платы на 100-мегабитную плату PCI решает эту проблему достаточно просто.
Как можно видеть на рис, эксперты записывают свою работу в окне статуса экспертов. Мониторинг этого окна удержит вас от попытки выполнить две программы-эксперта в одно время (что породит сообщение об ошибке). Это важно помнить, так как выполнение эксперта на большом файле перехвата может потребовать много времени на медленной машине, а окно статуса эксперта является единственным местом, которое позволит узнать, что компьютер не заблокирован. В это время можно заметить, что использование центрального процессора доходит до 100%, поэтому не надо выполнять экспертов на производственных серверах, так как это вызовет жалобы сообщества пользователей.
