Мониторинг

Мониторинг сетевой активности

Системы семейства Windows Server позволяют осуществлять мониторинг сетевой активности на низком уровне — на уровне сетевых фреймов, передаваемых и принимаемых сетевыми адаптерами компьютера. Для выполнения этой задачи служит компонента системы " Сетевой монитор " (Network Monitor). Правда, штатная компонента " Сетевой монитор " имеет ограничение — она захватывает только те сетевые пакеты, которые передаются данному компьютеру (на котором запущен " Сетевой монитор ") или отправляются с данного компьютера, в том числе широковещательные пакеты. " Сетевой монитор " — мощный инструмент для обнаружения различных сетевых проблем и неполадок, позволяющий детально изучать содержимое передаваемых по сети пакетов.

Все данные, пересылаемые по сети от одного сетевого адаптера другому, состоят из фреймов (кадров). Каждый фрейм содержит следующую информацию:

• Адрес источника (отправителя) — MAC-адрес сетевого адаптера, с которого отправлен кадр;
• Адрес назначения (получателя) — MAC-адрес сетевого адаптера, которому предназначался кадр (этот адрес может также определять группу сетевых адаптеров);
• Данные заголовка — информация, содержащая описание для каждого протокола, используемого при передаче кадра;
• Данные — передаваемые данные (или часть данных).

В обычном состоянии каждый сетевой адаптер принимает только те фреймы, которые адресованы данному адаптеру (или всем сетевым адаптерам при отправке широковещательных пакетов). Все остальные фреймы сетевыми адаптерами игнорируются. Все захватываемые в процессе работы " Сетевого монитора " фреймы сохраняются в буфере захвата (по умолчанию размер буфера 1 МБ, поэтому " Сетевой монитор " хранит только последний мегабайт захваченных фреймов). Захваченные фреймы после окончания процесса захвата и изучения можно сохранить в файле с расширением " .cap " для последующего более детального изучения.

Установка " Сетевого монитора "

" Сетевой монитор " устанавливается так же, как и другие компоненты системы: " Панель управления " — " Установка и удаление программ " — кнопка " Установка компонентов Windows " — " Средства управления и наблюдения " — кнопка " Состав " — " Средства сетевого монитора ". После установки " Сетевого монитора " в разделе " Администрирование " Главного меню системы появляется соответствующий ярлык.

Запуск " Сетевого монитора " и выбор сетевого интерфейса

При запуске " Сетевого монитора " администратору необходимо выбрать тот интерфейс, для которого будет производиться захват сетевых пакетов. " Сетевой монитор " может перехватывать фреймы для различных типов интерфейсов — сетевые адаптеры, модемы, VPN-соединения. После запуска " Сетевого монитора " администратор видит запрос, изображенный на рис. 16.34:

Рис. 16.34.

Выберем " Подключение по локальной сети " (рис. 16.35). Для выбранного подключения программа показывает краткую сводку: модель сетевого адаптера, MAC-адрес адаптера, скорость передачи данных, максимальный размер фрейма (в данном примере — 1500 байт).

Рис. 16.35.

Первоначальная настройка параметров

В начале работы можно указать размер буфера захвата для временного хранения перехваченных фреймов: пункт меню " Запись " — " Параметры буфера ".

Запуск захвата сетевых пакетов

Запуск захвата фреймов осуществляется через меню " Запись " — " Запустить " или нажатием кнопки " Начать запись данных " на панели инструментов (кнопка). В процессе работы " Сетевой монитор " показывает статистику сетевой активности данного компьютера (рис. 16.36).

Рис. 16.36.

Левая верхняя панель показывает процент загруженности сетевого сегмента, скорость передачи кадров и скорость передачи байтов.

Панель слева посередине окна показывает физические адреса адаптеров, с которыми происходит обмен данными.

Нижняя панель показывает детальную статистику обмена пакетами для всех сетевых адаптеров, с которых получены или на которые отправлены фреймы.

Панель справа вверху показывает общую статистику сети.

Останов захвата пакетов

Для останова процесса захвата фреймов нужно выбрать пункт меню " Запись " — " Остановить " (просто для останова) или " Запись " — " Остановить и просмотреть " (чтобы после останова сразу перейти в режим просмотра захваченных фреймов), а также нажатием кнопок соответственно " Закончить запись данных " () или " Закончить запись и отобразить данные " ().

Просмотр захваченных фреймов

Если вы сразу после останова записи фреймов не перешли в режим их просмотра, это можно сделать через меню " Запись " — " Отобразить записанные данные " или нажатием кнопки " Отобразить записанные данные " (). Первоначально при переходе в режим просмотра окно " Сетевого монитора " примет вид, изображенный на рис. 16.37 (в окне отображается полный список захваченных фреймов с краткой информацией о каждом из них):

Рис. 16.37.

Двойным щелчком мыши на любом из фреймов мы переходим в режим просмотра содержимого захваченных фреймов (рис. 16.38).

Рис. 16.38.

На данном рисунке:

• верхняя панель — полный список захваченных "Сетевым монитором" фреймов;
• средняя панель — структура выделенного в верхней панели фрейма; рис. 16.39 — общие сведения о фрейме (дата, время, размер); рис. 16.40 — информация о протоколе канального уровня Ethernet (физические адреса адаптера-отправителя и адаптера-получателя, тип протокола — IPv4); рис. 16.41 — содержимое заголовка протокола IP; рис. 16.42 — содержимое заголовка протокола TCP; рис. 16.43 — сама информация, передающаяся по сети (в данном случае — информация о сессии протокола NetBIOS);
• нижняя панель — содержимое фрейма в шестнадцатиричном и символьном виде; содержимое той части фрейма, которая выделена в средней панели, в нижней панели выделено инверсным цветом (рис. 16.44).

Рис. 16.39.

Рис. 16.40.

Рис. 16.41.

Рис. 16.42.

Рис. 16.43.

Рис. 16.44.