Microsoft Message Analyzer
SeiteninhaltNetMon 3 ist nur noch im Download Archiv zu erhalten. Microsoft hat den bekannten Netzwerk Sniffer aufs Altenteil geschickt und mit dem Message Analyzer einen Nachfolger ins Rennen gesendet, der nicht nur Ethernet-Pakete mitschneidet, sondern komplette Windows Applikationen tracen kann. Die entsprechenden APIs gab es bei Microsoft schon länger und der Support hat auch immer gerne "ETL-Dateien" gezogen und dann offline ausgewertet. Der Message Analyzer macht etwas sehr ähnliches.
- Announcing Microsoft Message Analyzer
1.4
https://blogs.technet.microsoft.com/messageanalyzer/2016/03/23/announcing-microsoft-message-analyzer-1-4/ - Message Analyzer Team Blog
https://blogs.technet.microsoft.com/messageanalyzer/ - Microsoft Message Analyzer Operating
Guide
https://technet.microsoft.com/en-us/library/jj649776.aspx
Message Analyzer Playlist
https://www.youtube.com/playlist?list=PLszrKxVJQz5Uwi90w9j4sQorZosTYgDO4
Message Analyzer ersetzt Netmon
Seit einiger Zeit gibt es mittlerweile schon den Microsoft Message Analyzer, der Netmon ersetzen wird. Das sieht man schon daran, dass der Netmon Download mittlerweile als "Archiv" angeboten wird:
Insofern wird es schon Zeit, sich mit der neuen Version von NetMon zu beschäftigen, wenn man nicht gleich zu Wireshark wechseln will. Also auf zu Microsofts Downloadseite
Microsoft Message Analyzer
https://www.microsoft.com/en-us/download/details.aspx?id=44226
- http://blogs.technet.com/b/messageanalyzer/archive/2012/09/17/meet-the-successor-to-microsoft-network-monitor.aspx
- http://blogs.technet.com/b/messageanalyzer/archive/2014/09/15/announcing-the-message-analyzer-1-1-release.aspx
Message Analyzer im Einsatz
Am Ende der Installation werden Sie direkt gefragt, ob Sie den Message Analyzer starten wollen. Nach dem Start können Sie zudem auswählen, dass er ihnen Neuigkeiten meldet, Updates installiert und Ein Feedback an Microsoft übermittelt, ehe sie dann zum eigentlichen Programfenster kommen:
Mit dem Druck auf "Start local Trace" wird sofort eine neue Session für einen Netzwerkmittschnitt auf dem LAN gestartet. Sinnvoller ist es aber erst manuell eine neue Session zu erstellen.
Und hier wird der Message Analyzer schon interessant, da er weit mehr als nur einen Livetrace über das LAN machen kann, sondern auch andere Quellen anzapfen kann. Interessant ist natürlich immer noch der LiveTrace, der durch verschiedene Szenarien in verschiedenen Bereicihen schon Vorarbeit leistet.
- Netzwerk
- Devices und System
- File Sharing
Das sind aber nur vordefinierte Filter, dass der Message Analyzer schon beim Mitschnitt "irrelevante" Daten gar nicht erst aufzeichnet. Das filtern kostet zwar etwas mehr Ressourcen aber dafür haben Sie deutlich weniger "Beifang", was ihren Speicherplatz entlastet und auch weniger kritisch bezüglich Datenschutz ist.
Mitschnitte auswerten
Der erste Blick auf eine Auswertung sieht natürlich etwas anders aus: Hier am Beispiel einer NetBIOS-Anfrage auf "WPAD" im lokalen LAN über WiFi:
Aber man komm schon schnell mit der neuen Ansicht klar, die natürlich umfangreich umgestaltet werden kann. Eine kurze Suche im Internet liefert hier viele Anleitungen und Hinweise, so dass ich mir eine eigene Anleitung hier spare
- Microsoft Message Analyzer
Operating Guide
https://technet.microsoft.com/en-us/library/jj649776.aspx
Quasi ein ganzes Handbuch zur Verwendung des Message Analyzer. Hier ein paar interessante Seiten- Message
Analyzer
Tutorial
https://technet.microsoft.com/en-us/library/jj714801.aspx - Quick Start
Procedures
https://technet.microsoft.com/en-us/library/jj673503.aspx
- Message
Analyzer
Tutorial
- Message Analyzer Blog
http://blogs.technet.com/b/messageanalyzer/ - Introduction to Network
Trace Analysis using Microsoft
Message Analyzer:
Part 1: http://blogs.technet.com/b/askpfeplat/archive/2014/08/18/introduction-to-network-trace-analysis-using-microsoft-message-analyzer-part-1.aspx
Part 2: http://blogs.technet.com/b/askpfeplat/archive/2014/08/18/introduction-to-network-trace-analysis-using-microsoft-message-analyzer-part-2.aspx - Troubleshooting Microsoft
Azure Storage with Message
Analyzer
http://azure.microsoft.com/blog/2015/01/27/troubleshooting-microsoft-azure-storage-with-message-analyzer - Discovering the underlying
Office Protocols using Microsoft
Message Analyzer
http://blogs.msdn.com/b/officeinteroperability/archive/2015/01/29/discovering-the-underlying-office-protocols-using-microsoft-message-analyzer.aspx
Windows 2008R2+ Netzwerk Mitschnitt
Musste man in früheren Versionen von Windows immer erst NetMon oder Wireshark installieren, um dann die Pakete auf den LAN zu loggen, ist seit Windows 2008R2 diese Funktion nun Bestandteil des Betriebssystems. Über einen einfachen NETSH-Befehl kann ein Mitschnitt gestartet werden:
Netsh trace start scenario=NetConnection capture=yes report=yes persistent=no maxsize=1024 correlation=yes traceFile=C:\temp\NetTrace.etl
Über weitere Parameter können Sie z.B. den Mitschnitt auf IPv4-pakete oder bestimmte IP-Adressen beschränken, z.B: mit "Ethernet.Type=IPv4" oder " IPv4.Address=192.168.100.1". Eine Hilfe ist direkt in NETSH eingebaut
netsh trace show capturefilterhelp
Der Capture startet quasi "sofort". Sie sind daher gibt beraten dies in einer eigenen Admin-Shell zu machen und nach der Fehlersituation den Trace auch wieder zu stoppen:
netsh trace stop
Das Ergebnis ist aber nun keine CAP-Datei zur Auswertung in NETMON oder Wireshark., sondern eine ETL-Datei, die aber mit dem Message Analyzer gelesen werden und dort natürlich auch wieder in einem anderen Format exportiert werden kann. Wer also mit Wireshark besser "sehen" kann, kann über den Umweg auch diese Daten verwerten.
- Network Tracing in Windows 7
http://technet.microsoft.com/en-us/library/ee918726(v=ws.10).aspx - Network Tracing in Windows 7 (Windows)
http://msdn.microsoft.com/en-us/library/windows/desktop/dd569136(v=vs.85).aspx - Netsh Commands für Trace
http://technet.microsoft.com/en-us/library/dd878498(v=WS.10).aspx - Netsh Commands für Network Trace in Windows Server 2008 R2
and Windows 7
http://technet.microsoft.com/en-us/library/dd878517(v=WS.10).aspx - Event Tracing für Windows and Network Monitor
http://blogs.technet.com/b/netmon/archive/2009/05/13/event-tracing-for-windows-and-network-monitor.aspx - So you want to use Wireshark to read the netsh trace output
.etl?
http://blogs.technet.com/b/yongrhee/archive/2013/08/16/so-you-want-to-use-wireshark-to-read-the-netsh-trace-output-etl.aspx - Network tracing (packet sniffing) built-in to Windows Server
2008 R2 and Windows Server 2012.
http://blogs.technet.com/b/yongrhee/archive/2012/12/01/network-tracing-packet-sniffing-built-in-to-windows-server-2008-r2-and-windows-server-2012.aspx - No Wireshark? No TCPDump? No Problem!
https://isc.sans.edu/forums/diary/No+Wireshark+No+TCPDump+No+Problem/19409/
Weitere Links
- Wireshark
- Packetyzer
- Microsoft Message Analyzer Operating Guide
http://technet.microsoft.com/en-us/library/jj649776.aspx - Network Capture is Dead
http://blogs.technet.com/b/messageanalyzer/archive/2013/03/04/network-capture-is-dead.aspx - Message Analyzer has Released – A New Beginning
http://blogs.technet.com/b/messageanalyzer/archive/2013/09/25/message-analyzer-has-released-a-new-beginning.aspx - Microsoft veröffentlicht Ereignis- und Paketanalysator Message Analyzer
http://www.heise.de/newsticker/meldung/Microsoft-veroeffentlicht-Ereignis-und-Paketanalysator-Message-Analyzer-1967419.html - Forum: Message Analyzer
http://social.technet.microsoft.com/Forums/en-US/home?forum=messageanalyzer - Download
http://www.microsoft.com/en-us/download/details.aspx?id=40308
- So you want to use Wireshark to read the netsh trace output
.etl?
http://blogs.technet.com/b/yongrhee/archive/2013/08/16/so-you-want-to-use-wireshark-to-read-the-netsh-trace-output-etl.aspx - Network tracing (packet sniffing) built-in to Windows Server
2008 R2 and Windows Server 2012.
http://blogs.technet.com/b/yongrhee/archive/2012/12/01/network-tracing-packet-sniffing-built-in-to-windows-server-2008-r2-and-windows-server-2012.aspx
