Microsoft Network Monitor ist ein veraltetes Tool zur Erfassung des Netzwerkverkehrs und zur Paketanalyse. Es ermöglicht das Erfassen, Anzeigen und Analysieren von Netzwerkdaten und das Entschlüsseln von Netzwerkprotokollen. Es ermöglicht die Fehlersuche bei Netzwerkproblemen und Anwendungen im Netzwerk.
Wie man Network Monitor verwendet
- Herunterladen Microsoft Network Monitor
- Führen Sie die Installation mit der heruntergeladenen Datei durch.
- Öffnen Sie “Microsoft Network Monitor 3.4” und laufen als “administrator”
- Wählen Sie das Ethernet aus, das Sie erfassen möchten, indem Sie es ankreuzen. Wenn Sie mehrere Netze haben, wählen Sie nicht alle Netze aus. Wählen Sie nur die Netze aus, von denen Sie den Netzwerkverkehr erfassen wollen.
Erste Schritte Erfassen des Netzwerkverkehrs
- Um den Netzwerkverkehr zu erfassen, klicken Sie auf die Schaltfläche „New Capture“ und dann auf die Schaltfläche „Start.
- Im Abschnitt „Frame Summary“ sehen Sie den Datenverkehr, den Sie über das Ethernet-Netzwerk aufgezeichnet haben.
- Um sich mehr auf die Analyse des Netzwerks zu konzentrieren, können Sie Filter hinzufügen. Sie können den Netzwerkverkehr nach laufenden Anwendungen, Ziel, Portnummer usw. filtern. Die Vorgehensweise und Beispiele finden Sie am Ende dieses Artikels.
Netzwerkmonitor-Filterung
Netzwerk-Monitor IPv4-Filterung
Network Monitor Konversationsfilterung
| Feld/ Eigenschaft | Beschreibung | Beispiel |
| ProcessName | Der mit dem aktuellen Frame verbundene Prozess. Dieser wird erfasst, wenn Network Monitor 3.4 zur Erfassung eines Traces verwendet wird. Wenn Sie NMCAP verwenden, müssen Sie die Option /CaptureProcesses hinzufügen. | ProcessName.Contains(„iexpl“) |
| ProcessID | Die Prozess-ID, die mit dem aktuellen Frame verbunden ist. Diese wird erfasst, wenn Network Monitor 3.4 zur Erfassung einer Ablaufverfolgung verwendet wird. Wenn Sie NMCAP verwenden, müssen Sie die Option /CaptureProcesses hinzufügen. | ProcessID == 1234 |
Weitere interessante Artikel
Netzwerk-Monitor Drahtlos-Filterung
| Feld/ Eigenschaft | Beschreibung | Beispiel |
| Wifi.Address | Filtern Sie nach einer Adresse in beiden Richtungen, Quelle oder Ziel. | Ethernet.Address==0x123456AABBCC |
| wifi.Management.SA | Stellt die Quelladresse dar und ist nützlich, um den Verkehr von einer bestimmten Quelle zu filtern. | wifi.Management.sA==0x123456AABBCC |
| wifi.Management.DA | Stellt die Zieladresse dar und ist nützlich für die Filterung des Verkehrs zu einem bestimmten Ziel. | wifi.Management.DA==0x123456AABBCC |
| WiFi.MetaData.PhyType | Der Wert Physical Layer Type. Jeder Wert steht für eine andere Schicht. Diese sind in der Tabelle WiFiPhyType in wireless.npl beschrieben. 4=a, 5=b, 6=g, und 7=n. | WiFi.MetaData.PhyType == 0x6 |
| property.WiFiDestination | Enthält die Quelladresse der meisten Protokolle. Wenn also Wi-Fi das letzte Protokoll mit einer Adresse ist, enthält property. Destination die String-Darstellung dieser Adresse enthalten. Dies ist dieselbe Eigenschaft, die zum Auffüllen der Spalte Quelle in der Benutzeroberfläche verwendet wird. | WiFiDestination == 0xFFFFFFFFFFFF |
| property.WifiChannel | Drahtloser Kanal | property.WifiChannel==14 |
| property.WiFiSource | Ähnlich wie Reiseziel | WiFiSource == 0xFFFFFFFFFFFF |
| Destination | Enthält die Quelladresse der meisten Protokolle. Wenn also Wi-Fi das letzte Protokoll mit einer Adresse ist, enthält property. Destination die String-Darstellung dieser Adresse enthalten. Dies ist dieselbe Eigenschaft, die zum Auffüllen der Spalte Quelle in der Benutzeroberfläche verwendet wird. | Destination.Contains(„123456“) |
| Source | Ähnlich wie Reiseziel | Source.Contains(„123456“) |
Netzwerk-Monitor TCP-Filterung
| Feld/ Eigenschaft | Beschreibung | Beispiel |
| TCP.Port | Filtert nach dem Quell- oder Zielport. Wird verwendet, um Datenverkehr auf der Grundlage des Ports zu finden, der häufig mit einer Anwendung verknüpft ist. | TCP.Port==80 |
| TCP.Flags.Reset | Kann testen, ob das Reset-Flag gesetzt ist. | TCP.Flags.Reset==1 |
| TCP.Window | Fenstergröße des aktuellen TCP-Frames, jedoch ohne Berücksichtigung des Skalierungsfaktors. Siehe Property.TCPWindowSize unten. | TCP.Window == 0 |
| TCPRetransmit | Eine Eigenschaft, die gesetzt wird, wenn eine TCP-Wiederholungsübertragung festgestellt wird. Wiederholte Übertragungen weisen auf ein Problem mit der Netzinfrastruktur und eine Netzüberlastung hin. | Property.TCPRetransmit == 1 |
| TCPPayloadLength | Stellt die Größe der TCP-Nutzlast dar. | TCPPayloadLength == 0 |
| TCPCheckSumStatus | Dies ist eine Zeichenfolge, die angibt, ob die Prüfsumme gültig ist oder nicht. Dies kann „Gut“ oder „Schlecht“ sein. | TCPCheckSumStatus != „Good“ |
| TCPDescription | Eine Eigenschaft zur Anzeige der TCP-Beschreibung für den aktuellen Frame im Gegensatz zur obersten Protokollbeschreibung. Dies ist als Rahmenzusammenfassungsspalte nützlich. Sie können damit auch nach bestimmten neu übertragenen Frames suchen, indem Sie nach dem Text in der TCP-Zusammenfassung suchen, wie das Beispiel zeigt. | TCPDescription.Contains(„#472“) |
| TCPAckNumber | Die Quittungsnummer des aktuellen Rahmens | TCPAckNumber==1234 |
| TCPSeqNumber | Die Sequenznummer des aktuellen Frames | TCPSeqNumber==1234 |
| TCPSeqeunceRange | Der TCP-Sequenzbereich in Form einer Zeichenkette, die sich aus der aktuellen seq-Nummer bis zur aktuellen seq plus der Länge der TCP-Nutzlast zusammensetzt. | TCPSequenceRange.Contains(„1234“) |
| TCPShortAckNumber | Eine WORD-Darstellung der Ack-Nummer, damit sie leicht zu vergleichen und zu merken ist. | TCPShortAckNumber==1000 |
| TCPShortSeqNumber | A WORD representation of the Seq number to make it easy to compare and remember. | TCPShortSeqNumber==1000 |
| TCPFlags | Eine String-Darstellung der verschiedenen TCP-Flags für den Frame: CWR, ECE, Urgent, Ack, Push, Reset, Syn, Fin. | TCPFlags.Contains(„R“) |
| TCPWindowSize | Die Fenstergröße für den aktuellen Frame, einschließlich des Skalierungsfaktors, wenn der 3-Wege-Handshake in der gleichen Spur verfügbar ist. | TCPWindowSize==0 |