Microsoft Message Analyzer の紹介
Download as PPTX, PDF4 likes5,906 views
2014/9/22 開催、第21回「ネットワーク パケットを読む会(仮)」での発表資料です。Microsoft Message Analyzer の機能と利用方法を紹介しています。
![トレースの開始
1. [File] – [New Session] – [Live Trace]
2. [Trace Scenario] を選択
3. [Start]
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 9](https://image.slidesharecdn.com/messageanalyzer-140922102707-phpapp01/85/Microsoft-Message-Analyzer-9-320.jpg)
![ネットワークトレースの
採取
[Trace Scenario] で以下のいずれかを選択
◦ Local Network Interfaces (Win 8 and earlier)
◦ Local Network Interfaces (Win 8.1 and later)
または
◦ Wired Local Area Network (Win 8 and earlier)
◦ Wired Local Area Network (Win 8.1 and later)
◦ Wireless Local Area Network (Win 8 and earlier)
◦ Wireless Local Area Network (Win 8.1 and later)
参考: http://technet.microsoft.com/en-us/library/jj659262.aspx
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 11](https://image.slidesharecdn.com/messageanalyzer-140922102707-phpapp01/85/Microsoft-Message-Analyzer-11-320.jpg)
![Viewpoints
トレースを分析するプロトコルレイ
ヤーをプリセットした「視点」
◦ [Viewpoints] から選択、[Default Viewpoint] で
解除
◦ Viewpoint の編集、追加は今後機能追加
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 13](https://image.slidesharecdn.com/messageanalyzer-140922102707-phpapp01/85/Microsoft-Message-Analyzer-13-320.jpg)
![上位レイヤーのトレース
(SMB)
Trace Scenario で[File Sharing] から選択す
るとSMB のETW トレースが採取できる
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 14](https://image.slidesharecdn.com/messageanalyzer-140922102707-phpapp01/85/Microsoft-Message-Analyzer-14-320.jpg)
![USB / Bluetooth のトレー
ス
Trace Scenario で[Device] から選択すると
USB / Bluetooth のETW トレースが採取で
きる
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 15](https://image.slidesharecdn.com/messageanalyzer-140922102707-phpapp01/85/Microsoft-Message-Analyzer-15-320.jpg)
Microsoft Message Analyzer の紹介
- 1. Microsoft Message Analyzer の紹介 村地彰aka hebikuzure This material provided by CC BY-NC-ND 4.0. See http://creativecommons.org/licenses/by-nc-nd/4.0/
- 2. About me 村地彰aka hebikuzure 株式会社シーピーエス http://www.murachi.net/ http://www.hebikuzure.com/ Microsoft MVP (Internet Explorer) Apr. 2011 ~ 2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 2
- 3. Microsoft Message Analyzer Microsoft Network Monitor の後継ツール Download Microsoft Message Analyzer ◦http://www.microsoft.com/en-us/ download/details.aspx?id=40308 ◦http://bit.ly/MessageAnalyzer 2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 3
- 4. NetMon との違い ETW (Event Tracing for Windows) を利用し てトレースログ採取 ◦ 「パケットキャプチャツール」ではない ネットワークレベルより上位のレイヤー のトレースログが採取可能 2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 4
- 5. ETW の概念 http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/27/event-tracing-for-windows-etw.aspx より引用 2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 5
- 6. ETW の活用 ETW はWindows 2000 以降で利用可能 ドライバーを含むソフトウェアのデバッ グ出力が元々の目的 新しいWindows のリリースごとに機能 が強化されている ◦ http://msdn.microsoft.com/ja-jp/ library/windows/desktop/dd392330.aspx 2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 6
- 7. インストール システム要件 ◦ Windows 7, Windows 8, Windows 8.1, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 ◦ .NET Framework 4.0 (.NET Framework 4.5 推奨) ◦ RAM: 64-bit: 最小2GB, 推奨8GB 32-bit: Minimum: 2GB ◦ CPU: 最低1.4 GHz, 推奨2 x 2.80 GHz (64-bit) ダウンロードしたファイルを実行 2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 7
- 8. 画面 2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 8
- 9. トレースの開始 1. [File] – [New Session] – [Live Trace] 2. [Trace Scenario] を選択 3. [Start] 2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 9
- 10. Trace Scenario 有効にするETW プロバイダーがプリ セットされている 2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 10
- 11. ネットワークトレースの 採取 [Trace Scenario] で以下のいずれかを選択 ◦ Local Network Interfaces (Win 8 and earlier) ◦ Local Network Interfaces (Win 8.1 and later) または ◦ Wired Local Area Network (Win 8 and earlier) ◦ Wired Local Area Network (Win 8.1 and later) ◦ Wireless Local Area Network (Win 8 and earlier) ◦ Wireless Local Area Network (Win 8.1 and later) 参考: http://technet.microsoft.com/en-us/library/jj659262.aspx 2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 11
- 12. Filter NetMon と同じフィルターが設定できる 2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 12
- 13. Viewpoints トレースを分析するプロトコルレイ ヤーをプリセットした「視点」 ◦ [Viewpoints] から選択、[Default Viewpoint] で 解除 ◦ Viewpoint の編集、追加は今後機能追加 2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 13
- 14. 上位レイヤーのトレース (SMB) Trace Scenario で[File Sharing] から選択す るとSMB のETW トレースが採取できる 2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 14
- 15. USB / Bluetooth のトレー ス Trace Scenario で[Device] から選択すると USB / Bluetooth のETW トレースが採取で きる 2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 15
- 16. Pros OS の標準機能だけでトレースログが採 取できる(OS バージョンに制限有り) 必要なレイヤーでログが採取できる ログのパース(解析) が強力 リモートトレースも可能(OS バージョ ンに制限有り) 2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 16
- 17. Cons 生パケットデータが見えない 動作環境が限られる 動作が重い(トレース採取の負荷、パー スの負荷ともに高くなる場合がある) 不足している機能がまだある 2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 17
- 18. 結論 ネットワークレベルのパケット解析に は向かない 上位レイヤーを含めた解析には使える 今後の機能強化に期待 2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 18