使用网络监视器收集数据

本文介绍如何使用 Microsoft 网络监视器 3.4,这是一种捕获网络流量的工具。

             适用于:Windows 10

备注

网络监视器是存档的协议分析器,不再开发中。 此外,Microsoft Message Analyzer (MMA) 已停用,其下载包已于 2019 年 11 月 25 日从 microsoft.com 站点中删除。 目前,开发中的 Microsoft 消息分析器目前没有 Microsoft 替代项。 对于类似的功能,请考虑使用另一个非 Microsoft 网络协议分析器工具。 有关详细信息,请参阅 Microsoft Message Analyzer 操作指南

若要开始, 请下载网络监视器工具。 安装网络监视器时,它会安装其驱动程序并将其挂钩到设备上安装的所有网络适配器。 可以在适配器属性上看到相同的 ,如下图所示:

网络适配器属性的屏幕截图。

当驱动程序在安装过程中卡 (NIC) 挂接到网络接口时,NIC 会重新初始化,这可能会导致短暂的网络故障。

捕获流量

  1. netmon选择“以管理员身份运行”,以提升状态运行。

    Netmon 的“开始”搜索结果的屏幕截图。

  2. 网络监视器随即打开,并显示所有网络适配器。 选择要捕获流量的网络适配器,选择“ 新建捕获”,然后选择“ 启动”。

    网络监视器菜单上“新建捕获”选项的屏幕截图。

  3. 重现问题,你将看到网络监视器抓取网络上的数据包。

    网络数据包的帧摘要的屏幕截图。

  4. 选择“ 停止”,然后转到 “文件>另存为 ”以保存结果。 默认情况下,该文件将另存为 .cap 文件。

保存的文件已捕获流向和流出本地计算机上所选网络适配器的所有流量。 但是,你的兴趣只是调查与你面临的特定连接问题相关的流量/数据包。 因此,需要筛选网络捕获,以便仅查看相关流量。

常用筛选器

  • Ipv4.address==“client ip” and ipv4.address==“server ip”
  • Tcp.port==
  • Udp.port==
  • Icmp
  • Arp
  • Property.tcpretranmits
  • Property.tcprequestfastretransmits
  • Tcp.flags.syn==1

提示

如果要筛选特定字段的捕获,但不知道该筛选器的语法,只需右键单击该字段并选择 “将所选值添加到显示筛选器”。

使用 netsh Windows 中内置的命令收集的网络跟踪属于扩展“ETL”。 但是,可以使用网络监视器打开这些 ETL 文件,以便进一步分析。

更多信息