2.16 Використання Network Monitor для моніторингу мережної активності

Нижче розглядаються питання оптимізації роботи мережі за допомогою різних методів аналізу мережної активності, наприклад моніторингу мережного трафика і використання ресурсів. До складу Microsoft Windows XPвходять дві утиліти для моніторингу мережі: System Monitor і Network Monitor. Утиліта System Monitor (Системний монітор) для Windows XP Professional і Windows XP Server відслідковує використання ресурсів і пропускну здатність мережі. Утиліта Network Monitor (Мережний монітор) для Windows XP Server перевіряє пропускну здатність мережі шляхом запису мережного трафика.

Microsoft Windows XP Network Monitor використовується для аналізу і виявлення проблем у ЛОМ, наприклад, для виявлення помилок, що виникають в апаратній і програмній частині, коли два чи більш комп'ютери не можуть установити зв'язок. Network Monitor дозволяє вести журнал мережної активності, копію якого можна відіслати професійним мережним чи аналітикам у службу підтримки. Крім того, розроблювачі мережного ПО застосовують Network Monitor для моніторингу і налагодження своїх додатків..Утиліта Network Monitor використовується для запису даних, переданих і отриманих комп'ютерами мережі, і наступного перегляду й аналізу цих даних. Кадри і пакети канального рівня записуються через прикладний рівень і представляються в графічному виді.

Кадри і пакети містять інформацію: адреси відправника й адресата; порядкові номери; контрольні суми. Утиліта Network Monitor розшифровує цю інформацію, дозволяючи аналізувати мережний трафик усувати неполадки в мережі. Крім даних канального рівня, Network Monitor «розуміє» деякі дані прикладного рівня, наприклад протоколи HTTP чи FTP. Ці дані допомагають вирішити проблеми взаємодії браузера і Web-сервера. установите Network Monitor.

Установка Network Monitor

• Розкрийте меню Start\Settings\Control Panel (Пуск\Настроювання\Панель керування) і клацніть ярлик Add/Remove Programs (Установка і видалення програм).

• Клацніть кнопку Add/Remove Windows Components (Додавання і видалення компонентів Windows).

• У вікні майстра компонентів Windows виберіть Management And Monitoring Tools (Засобу керування і спостереження) і клацніть кнопку Details (Склад).

• У вікні Management And Monitoring Tools позначте прапорець Network Monitor Tools (Засобу мережного монітора) і клацніть ОК .

• 5.

У вікні майстра компонентів Windows клацніть Next. При необхідності вставте компакт-диск Windows XP чи вкажіть шлях до необхідних файлів.

Клацніть кнопку Finish (Готове), щоб завершити установку.

Рис . 2.3 Вибір компонента Network Monitor Tools (Засобу мережного монітора)

Network Monitor включає агент, відповідальний за збір Даних, і утиліту, що відображає й аналізує ці дані. Обидві встановлюються автоматично встановлюються одночасно з Network Monitor Tools.

Драйвер мережного монітора

Переглядає кадри з мережного адаптера і передає інформацію утиліті Network Monitor. Крім того, драйвер може передавати кадри вилученому адміністратору, що використовує версію Network Monitor зі складу Microsoft Systems Management Server.

Примітка При установці драйвера мережного монітора в утиліті System Monitor з'являється об'єкт Network Segment.

Установка драйвера не означає установку утиліти Network Monitor. Для перегляду й аналізу даних, необхідно установити компонент Network Monitor Tools на комп'ютері з Windows XP Server.

• Розкрийте меню Start\Settings\Control Panel і клацніть ярлик Network and Dial-Up Connections (Мережа і віддалений доступ до мережі).

• Клацніть правою кнопкою локальне підключення, моніторинг якого необхідно виконати, і виберіть у контекстному меню команду Properties (Властивості).

• У вікні властивостей локального підключення клацніть кнопку Install (Установити).

• У вікні Select Network Component Type (Вибір типу мережного компонента) клацніть Protocol (Протокол), а потім — кнопку Add (Додати).

• У вікні Select Network Protocol (Вибір мережного протоколу) виберіть Network Monitor Driver (Драйвер мережного монітора) і клацніть ОК. При необхідності вставте компакт-диск Windows XP чи вкажіть шлях до необхідних файлів.

Запис мережних даних

Утиліта Network Monitor записує й аналізує мережні кадри. Вона дозволяє записати весь мережний трафик, що проходить через мережний чи адаптер вибрати деяку підмножину кадрів. Крім того, утиліту Network Monitor можна змусити відповідати на події в мережі. Запис і аналіз мережних даних розглядаються на занятті 2.

Утиліта Network Monitor використовується для визначення й аналізу проблем, що виникають у мережі. Network Monitor дозволяє вести журнал мережної активності, копію якого можна відіслати професійним мережним чи аналітикам у службу підтримки.

Використання Network Monitor

Тут розглядається використання Network Monitor для рішення проблем, що виникають у мережі. При застосуванні Network Monitor ви повинні дотримувати наступні правила.

• Запускайте Network Monitor у періоди мініРис ьного навантаження на чи мережу на нетривалий час. Це зменшить споживання ресурсів системи.

• Записуйте тільки ті статистичні дані, що дійсно необхідні. Це обмежить обсяг інформації і допоможе швидко знайти помилку.

Дослідження кадрів

Утиліта Network Monitor записує кадри, що проходять через мережний адаптер. Кадри містять різну інформацію:

• назва використовуваного протоколу;

• адреса комп'ютера-відправника;

• адреса призначення кадру;

• довжину кадру.

Запис мережних кадрів

• Розкрийте меню Start\Programs\Administrative Tools (Пуск\Прог-рами\Адміністрування) і клацніть ярлик Network Monitor. При необхідності виберіть локальну мережу, для якої за замовчуванням будуть записуватися дані.

• У меню Capture (Запис) виберіть команду Start (Запустити).

Перегляд даних

Записані мережні дані можна переглянути засобами користувальницького інтерфейсу утиліти Network Monitor (Рис . 2.41). Розібрав рядок записаних даних і приводячи її до структури логічного кадру, Network Monitor автоматично аналізує деякі дані. Крім того, утиліта відображає загальну статистику по сегментам, у тому числі зведення про:

• широкомовних кадрах;

• многоадресных кадрах;

• використанні мережі;

• кількості отриманих байт у секунду;

• кількості отриманих кадрів у секунду.

Примітка З розумінь безпеки утиліта Network Monitor записує кадри, включаючи широкомовні і многоадресні, що чи посилає одержує тільки локальний комп'ютер.

Рис . 2.4 Користувальницький інтерфейс Network Monitor

Для копіювання кадрів у буфер запису (область пам'яті перемінного розміру) Network Monitor використовує драйвер NDIS. За замовчуванням розмір буфера дорівнює 1 Мб. При необхідності це значення можна змінити в межах вільної оперативної пам'яті.

Якщо ваш мережний адаптер не підтримує змішаний режим (при який через нього проходять усі кадри, послані по мережі), Network Monitor буде застосовувати локальний режим. У цьому випадку при записі кадрів драйвером NDIS навантаження на мережу не збільшиться. (Переклад адаптера в змішаний режим іноді підвищує навантаження на процесор більш ніж на 30%.).

Network Monitor відображає статистику першої сотні унікальних сеансів. Щоб обновити статистику і побачити інформацію про наступні сто сеансів, у меню Capture (Запис) виберіть команду Clear Statistics (Очистити статистику).

Щоб записати кадри, отримані з визначених комп'ютерів, необхідно довідатися їхньої адреси й асоціювати їх з іменами DNS чи NetBIOS. Після цього імена потрібно зберегти у файлі адрес (.adr), що використовується для настроювання фільтрів запису і відображення. Фільтр запису дозволяє задати критерій добору даних. Для настроювання фільтра запису служить діалогове вікно Capture Filter (Фільтр запису) (Рис . 2.42), що викликається відповідною командою в меню Capture чи натисканням клавіші F8.

Рис . 2.5 Діалогове вікно Capture Filter (Фільтр запису)

Фільтри запису істотно збільшують навантаження на процесор, тому що через них проходить кожен пакет. Іноді використання складних фільтрів приводить до втрати кадру.

Щоб настроїти фільтр запису, задайте умови в діалоговому вікні Capture Filter. Вказавши умови відповідності, ви зможете:

• записувати кадри, що містять визначений тип даних;

• записувати кадри, що використовують визначений протокол;

• використовувати тригер запису для виконання яких-небудь дій.

Якщо на комп'ютері встановлено кілька мережних адаптерів, треба або переключатися між ними, або запустити кілька екземплярів утиліти Network Monitor. Щоб переключиться на інший мережний адаптер, у меню Capture виберіть команду Networks (Мережі) і вкажіть потрібний адаптер.

Записані дані можна зберегти. Наприклад, це варто зробити перед початком наступної запису (щоб уникнути втрати даних), якщо дані будуть аналізуватися чи пізніше якщо потрібно скласти документ про використання мережі і виниклих проблемах. При збереженні дані копіюються у файл із росширением.cap.

Використання фільтрів відображення

За аналогією з фільтрами запису можна використовувати фільтр відображення як запит до бази даних, щоб указати, які кадри варто відображати. Фільтр відображення оперує з записаними даними і не робить впливу на вміст буфера запису. Кадри фільтруються на основі наступних даних:

• адреси відправника і приймача кадру для канального і мережного рівнів;

• використовуваного при відправленні протоколу;

• властивостей і значень, що містяться в пакеті (під властивістю мається на увазі поле даних у заголовку протоколу, що у сукупності визначають його призначення).

Щоб настроїти фільтр відображення, необхідно задати умови в діалоговому вікні Display Filter (Фільтр відображення). Вся інформація в цьому вікні відображається у виді дерева рішень і є графічним представленням логіки роботи фільтра. Зміни у визначенні фільтра відбиваються на дереві рішень.

При настроюванні фільтрів відображення можна використовувати логічні оператори AND, OR і NOT. Крім того, на відміну від фільтрів запису, у вираженні дозволяється застосовувати більш чотирьох адрес. При відображенні записаних даних, вся інформація про кадри з'являється у вікні перегляду кадрів. Щоб відобразити кадри, для відправлення яких використовувався визначений протокол, зміните поле Protocol у діалоговому вікні Display Filter (Фільтр відображення). Властивості протоколу — це інформація, витягнута з даних цього протоколу. Допустимо, ви записали багато кадрів, переданих за допомогою протоколу Server Message Block (SMB), але хочете досліджувати тільки ті кадри, що застосовувалися для створення каталогу на вашому комп'ютері. У цьому випадку варто досліджувати кадри, де властивість, що відповідає за команду SMB еквівалентно створенню каталогу. Крім того, змінивши рядок ANY <— —> ANY у діалоговому вікні Display Filter, можна переглянути кадри, послані з визначеного комп'ютера.

Перегляд записаних даних