네트워크 모니터를 사용하여 데이터 수집
이 문서에서는 네트워크 트래픽을 캡처하기 위한 도구인 Microsoft 네트워크 모니터 3.4를 사용하는 방법을 알아봅니다.
적용 대상: Windows 10
참고
네트워크 모니터는 보관된 프로토콜 분석기이며 더 이상 개발 중이 아닙니다. 또한 MMA(Microsoft Message Analyzer)가 사용 중지되고 다운로드 패키지가 2019년 11월 25일에 microsoft.com 사이트에서 제거되었습니다. 현재 개발 중인 Microsoft Message Analyzer에 대한 Microsoft 대체 항목은 없습니다. 비슷한 기능을 사용하려면 타사 네트워크 프로토콜 분석기 도구를 사용하는 것이 좋습니다. 자세한 내용은 Microsoft Message Analyzer 운영 가이드를 참조하세요.
시작하려면 네트워크 모니터 도구를 다운로드합니다. 네트워크 모니터를 설치하면 해당 드라이버가 설치되고 디바이스에 설치된 모든 네트워크 어댑터에 연결됩니다. 다음 이미지와 같이 어댑터 속성에서 동일하게 볼 수 있습니다.
설치하는 동안 드라이버가 NIC(네트워크 인터페이스 카드)에 연결되면 NIC가 다시 초기화되어 짧은 네트워크 결함이 발생할 수 있습니다.
트래픽을 캡처하려면
관리자 권한으로 실행을 선택하여 관리자 권한 상태 실행
netmon
합니다.모든 네트워크 어댑터가 표시된 네트워크 모니터가 열립니다. 트래픽을 캡처할 네트워크 어댑터를 선택하고 새 캡처를 선택한 다음 시작을 선택합니다.
문제를 재현하면 네트워크 모니터가 유선으로 패킷을 잡는 것을 볼 수 있습니다.
중지를 선택하고 파일>저장으로 이동하여 결과를 저장합니다. 기본적으로 파일은 파일로
.cap
저장됩니다.
저장된 파일은 로컬 컴퓨터에서 선택한 네트워크 어댑터로 이동하는 모든 트래픽을 캡처했습니다. 그러나 관심은 현재 직면하고 있는 특정 연결 문제와 관련된 트래픽/패킷만 살펴보는 것입니다. 따라서 네트워크 캡처를 필터링하여 관련 트래픽만 확인해야 합니다.
일반적으로 사용되는 필터
- Ipv4.address=="client ip" 및 ipv4.address=="server ip"
- Tcp.port==
- Udp.port==
- Icmp
- Arp
- Property.tcpretranmits
- Property.tcprequestfastretransmits
- Tcp.flags.syn==1
팁
특정 필드에 대한 캡처를 필터링하고 해당 필터의 구문을 모르는 경우 해당 필드를 마우스 오른쪽 단추로 클릭하고 선택한 값 추가를 표시 필터에 선택합니다.
Windows에 기본 제공된 명령을 사용하여 netsh
수집되는 네트워크 추적은 확장 "ETL"입니다. 그러나 이러한 ETL 파일은 추가 분석을 위해 네트워크 모니터를 사용하여 열 수 있습니다.