监视器
监视器是一个动态链接库, (DLL) ,用于检查网络流量的实时捕获。 它会搜索预定义的条件,然后在检测到这些条件时生成事件。 例如,当尝试网络闯入、当恶意工作站分发 IP 地址或路由器发生故障时,可能会触发事件。
监视控制服务 (MCSVC) 提供了用于管理监视器的框架。 它提供用于加载监视器 DLL 的功能,以及监视器控制工具的通信接口,以便你可以创建、配置、启动、停止和禁用监视器的多个实例。
监视器在两个执行线程中运行。 MCSVC 提供第一个线程,该线程提供对监视器的直接控制。 第二个线程由 网络数据包提供程序 (NPP) 提供,它提供了一种将捕获的网络数据、统计信息和捕获状态从 NPP 传递回监视器的方法。
用于捕获数据的每个运行时 NPP 接口可以存在同一监视器的多个实例。