Microsoft Message Analyzer

NetMon 3 ist nur noch im Download Archiv zu erhalten. Microsoft hat den bekannten Netzwerk Sniffer aufs Altenteil geschickt und mit dem Message Analyzer einen Nachfolger ins Rennen gesendet, der nicht nur Ethernet-Pakete mitschneidet, sondern komplette Windows Applikationen tracen kann. Die entsprechenden APIs gab es bei Microsoft schon länger und der Support hat auch immer gerne "ETL-Dateien" gezogen und dann offline ausgewertet. Der Message Analyzer macht etwas sehr ähnliches.

Message Analyzer Playlist
https://www.youtube.com/playlist?list=PLszrKxVJQz5Uwi90w9j4sQorZosTYgDO4 

Message Analyzer ersetzt Netmon

Seit einiger Zeit gibt es mittlerweile schon den Microsoft Message Analyzer, der Netmon ersetzen wird. Das sieht man schon daran, dass der Netmon Download mittlerweile als "Archiv" angeboten wird:

Insofern wird es schon Zeit, sich mit der neuen Version von NetMon zu beschäftigen, wenn man nicht gleich zu Wireshark wechseln will. Also auf zu Microsofts Downloadseite

Microsoft Message Analyzer
https://www.microsoft.com/en-us/download/details.aspx?id=44226 

Message Analyzer im Einsatz

Am Ende der Installation werden Sie direkt gefragt, ob Sie den Message Analyzer starten wollen. Nach dem Start können Sie zudem auswählen, dass er ihnen Neuigkeiten meldet, Updates installiert und Ein Feedback an Microsoft übermittelt, ehe sie dann zum eigentlichen Programfenster kommen:

Mit dem Druck auf "Start local Trace" wird sofort eine neue Session für einen Netzwerkmittschnitt auf dem LAN gestartet. Sinnvoller ist es aber erst manuell eine neue Session zu erstellen.

Und hier wird der Message Analyzer schon interessant, da er weit mehr als nur einen Livetrace über das LAN machen kann, sondern auch andere Quellen anzapfen kann. Interessant ist natürlich immer noch der LiveTrace, der durch verschiedene Szenarien in verschiedenen Bereicihen schon Vorarbeit leistet.

  • Netzwerk
  • Devices und System
  • File Sharing

Das sind aber nur vordefinierte Filter, dass der Message Analyzer schon beim Mitschnitt "irrelevante" Daten gar nicht erst aufzeichnet. Das filtern kostet zwar etwas mehr Ressourcen aber dafür haben Sie deutlich weniger "Beifang", was ihren Speicherplatz entlastet und auch weniger kritisch bezüglich Datenschutz ist.

Mitschnitte auswerten

Der erste Blick auf eine Auswertung sieht natürlich etwas anders aus: Hier am Beispiel einer NetBIOS-Anfrage auf "WPAD" im lokalen LAN über WiFi:

Aber man komm schon schnell mit der neuen Ansicht klar, die natürlich umfangreich umgestaltet werden kann. Eine kurze Suche im Internet liefert hier viele Anleitungen und Hinweise, so dass ich mir eine eigene Anleitung hier spare

Windows 2008R2+ Netzwerk Mitschnitt

Musste man in früheren Versionen von Windows immer erst NetMon oder Wireshark installieren, um dann die Pakete auf den LAN zu loggen, ist seit Windows 2008R2 diese Funktion nun Bestandteil des Betriebssystems. Über einen einfachen NETSH-Befehl kann ein Mitschnitt gestartet werden:

Netsh trace start scenario=NetConnection capture=yes report=yes persistent=no maxsize=1024 correlation=yes traceFile=C:\temp\NetTrace.etl

Über weitere Parameter können Sie z.B. den Mitschnitt auf IPv4-pakete oder bestimmte IP-Adressen beschränken, z.B: mit "Ethernet.Type=IPv4" oder " IPv4.Address=192.168.100.1". Eine Hilfe ist direkt in NETSH eingebaut

netsh trace show capturefilterhelp

Der Capture startet quasi "sofort". Sie sind daher gibt beraten dies in einer eigenen Admin-Shell zu machen und nach der Fehlersituation den Trace auch wieder zu stoppen:

netsh trace stop

Das Ergebnis ist aber nun keine CAP-Datei zur Auswertung in NETMON oder Wireshark., sondern eine ETL-Datei, die aber mit dem Message Analyzer gelesen werden und dort natürlich auch wieder in einem anderen Format exportiert werden kann. Wer also mit Wireshark besser "sehen" kann, kann über den Umweg auch diese Daten verwerten.

Weitere Links