НОУ ІНТУЇТ | лекція | моніторинг

  1. Початкове налаштування параметрів

Моніторинг мережевої активності

Системи сімейства Windows Server дозволяють здійснювати моніторинг мережевої активності на низькому рівні - на рівні мережевих фреймів, надісланих та отриманих мережевимиадаптерами комп'ютера. Для виконання цього завдання служить компонента системи "Монітор" (Network Monitor). Правда, штатна компонента "Монітор" має обмеження - вона захоплює тільки ті мережеві пакети, які передаються в комплекті з комп'ютером (на якому запущений "Монітор") або відправляються з даного комп'ютера, в тому числі широкомовні пакети. "Монітор" - потужний інструмент для виявлення різних мережевих проблем і неполадок, що дозволяє детально вивчати вміст переданих по мережі пакетів.

Всі дані, що пересилаються по мережі від одного мережевого адаптера іншому, складаються з фреймів (кадрів). Кожен фрейм містить наступну інформацію:

  • Адреса джерела (відправника) - MAC-адресу мережевого адаптера, з якого відправлений кадр;
  • Адреса призначення (одержувача) - MAC-адресу мережевого адаптера, якому призначався кадр (ця адреса може також визначати групу мережевих адаптерів);
  • Дані заголовка - інформація, що містить опис для кожного протоколу, використовуваного при передачі кадру;
  • Дані - передані дані (або частина даних).

У звичайному стані кожен мережевий адаптер приймає тільки ті фрейми, які адресовані даного адаптера (або всім мережевим адаптерам при відправці широкомовних пакетів). Всі інші кадри мережевимиадаптерами ігноруються. Всі захоплюються в процесі роботи "Мережевого монітора" фрейми зберігаються в буфері захоплення (за замовчуванням розмір буфера 1 МБ, тому "Монітор" зберігає тільки останній мегабайт захоплених фреймів). Захоплені фрейми після закінчення процесу захоплення і вивчення можна зберегти у файлі з розширенням ".cap" для подальшого більш детального вивчення.

Установка "Мережевого монітора"

"Монітор" встановлюється так само, як і інші компоненти системи: "Панель управління" - "Установка і видалення програм" - кнопка "Установка компонентів Windows" - "Засоби управління і спостереження" - кнопка "Склад" - "Засоби мережевого монітора" . Після установки "Мережевого монітора" в розділі "Адміністрування" Головного меню системи з'являється відповідний ярлик.

Запуск "Мережевого монітора" і вибір мережевого інтерфейсу

При запуску "Мережевого монітора" адміністратор повинен вибрати той інтерфейс, для якого буде проводитися захоплення мережевих пакетів. "Монітор" може перехоплювати фрейми для різних типів інтерфейсів - мережеві адаптери, модеми, VPN-з'єднання. Після запуску "Мережевого монітора" адміністратор бачить запит, зображений на Мал. 16.34 :

Виберемо "Підключення по локальній мережі" ( Мал. 16.35 ). Для обраного підключення програма показує коротке зведення: модель мережевого адаптера, MAC-адресу адаптера, швидкість передачі даних, максимальний розмір фрейма (в даному прикладі - 1500 байт).

Початкове налаштування параметрів

На початку роботи можна вказати розмір буфера захоплення для тимчасового зберігання перехоплених фреймів: пункт меню "Запис" - "Параметри буфера".

Запуск захоплення мережевих пакетів

Запуск захоплення фреймів здійснюється через меню "Запис" - "Запустити" або натисканням кнопки "Почати запис даних" на панелі інструментів (кнопка Запуск захоплення фреймів здійснюється через меню Запис - Запустити або натисканням кнопки Почати запис даних на панелі інструментів (кнопка   ) ). В процесі роботи "Монітор" показує статистику мережевої активності даного комп'ютера ( Мал. 16.36 ).

Ліва верхня панель показує відсоток завантаженості мережевого сегмента, швидкість передачі кадрів і швидкість передачі байтів.

Панель зліва посередині вікна показує фізичні адреси адаптерів, з якими відбувається обмін даними.

Нижня панель показує детальну статистику обміну пакетами для всіх мережевих адаптерів, з яких отримані або на які відправлені фрейми.

Панель справа вгорі показує загальну статистику мережі.

Зупинка захоплення пакетів

Для зупинки процесу захоплення фреймів потрібно вибрати пункт меню "Запис" - "Зупинити" (просто для зупинки) або "Запис" - "Зупинити і переглянути" (щоб після зупинки відразу перейти в режим перегляду захоплених фреймів), а також натисканням кнопок відповідно " закінчити запис даних "( Для зупинки процесу захоплення фреймів потрібно вибрати пункт меню Запис - Зупинити (просто для зупинки) або Запис - Зупинити і переглянути (щоб після зупинки відразу перейти в режим перегляду захоплених фреймів), а також натисканням кнопок відповідно  закінчити запис даних (   ) Або Закінчити запис і відобразити дані (   ) ) Або "Закінчити запис і відобразити дані" ( ).

Перегляд захоплених фреймів

Якщо ви відразу після зупинки запису фреймів не перейшло в режим їх перегляду, це можна зробити через меню "Запис" - "Показати записані дані" або натисканням кнопки "Показати записані дані" ( Якщо ви відразу після зупинки запису фреймів не перейшло в режим їх перегляду, це можна зробити через меню Запис - Показати записані дані або натисканням кнопки Показати записані дані (   ) ). Спочатку при переході в режим перегляду вікно "Мережевого монітора" прийме вигляд, зображений на Мал. 16.37 (У вікні відображається повний список захоплених фреймів з короткою інформацією про кожного з них):

Подвійним клацанням миші на будь-якому з фреймів ми переходимо в режим перегляду вмісту захоплених фреймів ( Мал. 16.38 ).

На даному малюнку:

  • верхня панель - повний список захоплених "Мережним монітором" фреймів;
  • середня панель - структура виділеного у верхній панелі фрейму; Мал. 16.39 - загальні відомості про фрейм (дата, час, розмір); Мал. 16.40 - інформація про протокол канального рівня Ethernet (фізичні адреси адаптера-відправника і адаптера-одержувача, тип протоколу - IPv4); Мал. 16.41 - вміст заголовка протоколу IP; Мал. 16.42 - вміст заголовка протоколу TCP; Мал. 16.43 - сама інформація, що передається по мережі (в даному випадку - інформація про сесії протоколу NetBIOS);
  • нижня панель - вміст фрейма в шестнадцатиричном і символьному вигляді; вміст тієї частини фрейму, яка виділена в середній панелі, в нижній панелі виділено інверсним кольором ( Мал. 16.44 ).