NetMon 3.4

Die Beschreibung für Netmon 2 aus dem Lieferumfang von Windows 2000/2003 finden Sie im Archiv auf NetMon 2

NetMon wird nicht mehr weiter entwickelt aber ist als Download noch verfügbar. Microsoft empfiehlt auf Windows stattdessen den Microsoft Message Analyzer, welcher noch zusätzliche Trace-Funktionen des Betriebssystems nutzen kann und daher weit mehr als nur ein Netzwerk-Tool ist. Wenn sie aber nur Netzwerk-Daten erfassen wollen, dann würde ich Wireshark einsetzen.

 

Das Mitschneiden von Paketen auf dem Ethernet ist für erfahrene Administratoren und Consultants ein wichtiges Hilfsmittel bei der Suche nach Problemen. Viele wusste gar nicht, dass Microsoft schon sehr früh entsprechende Werkzeuge als Bestandteil des Betriebssystems mit ausgeliefert hat. (Siehe NetMon). Aber Netmon 2 war schon etwas in die Jahre gekommen, so dass immer häufiger kostenfreie Alternativen wie Wireshark und Packetyzer zum Einsatz kamen. Anfang 2007 hat Microsoft die Version 3.0 von NetMon zum allgemeinen Download bereit gestellt.

Oops. Am 5. Dez 2018 hat ein Windows Update eine Warnung zu NetMon addiert:

Dann werde ich also wohl nur noch Wireshark (vormals Ethereal) nutzen und eventuell NETSH, um Mitschnitte zu erzeugen.

Netmon 3.4 Download
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=983b941d-06cb-4658-b7f6-3088333d062f 5-6 MB
Netmon Experts
http://go.microsoft.com/fwlink/?LinkID=133950
Zusätzliche bzw. aktualisierte Parser
http://www.codeplex.com/NMParsers

Network Monitor Parsers für Lync
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=8a1847fe-c1ad-41e4-98ab-e25e6f62542c

NM3 TV – Video Help für using NM3
http://blogs.technet.com/netmon/archive/2008/07/11/nm3-tv-video-help-for-using-nm3.aspx

Der Download besteht aus einem MSI-Paket, welches für 32bit und 64bit verfügbar ist. Entsprechend gestaltet sich die Installation einfach. Im Startmenü findet sich dann ein Eintrag für den NetMon.

Hinweis:
Wenn Sie das Betriebssystem "Inplace" z.B. von Windows 2012 auf Windows 2012R2 aufrüsten, müssen Sie Netmon ggfls. noch einmal installieren. Sie erkennen den Fall daran, dass keine Netzwerkkarten angezeigt werden und im Eventlog wird dies gemeldet.

Grenzen von Netmon

Ehe Sie nun aber zur Tat schreiten, sollten sie wissen, dass NetMon wie alle anderen Paketschnüffler seine Grenzen hat.:

  • NetMon sieht nicht alles
    NetMon protokolliert nur Pakete, die direkt an die Station selbst gerichtet sind, die Station sendet oder die als Broadcast oder Multicast empfangen werden. Sie können NetMon nur dann dazu nutzen, die Kommunikation zwischen zwei anderen Stationen abzuhören, wenn Sie einen Hub einsetzen oder an einem Monitorport ihres Switches abreiten. Ansonsten leitet ihnen ihr Switch die Pakete gar nicht zu. für die Analyse auf dem Problemsystem ist dies aber ausreichend
  • Richtige Karte auswählen
    NetMon kann immer nur auf genau einer Netzwerkkarte mitschneiden. Die meisten PCs haben aber neben der echten Netzwerkkarte auch immer noch einen DFÜ-Adapter oder einige mehr.
  • Netmon Default Buffer = Festplattenplatz - 2% !
    NetMon protokolliert alle Pakete in CAP-Dateien mit, die per Default 20 Megabyte groß sind. Ist eine Datei voll, wird eine weitere Datei angefangen, bis die Festplattenkapazität bis zu 2 % aufgebraucht ist. Dies ist eine wichtige Änderung zur Version 2.0
  • Capture Filter
    Es macht keinen Sinn, alle Pakete des PCs mitzuschneiden, wenn Sie nur eine bestimmte Kommunikationsbeziehung interessiert. Wählen Sie daher einen Filter beim Capture passend aus. Neu ist bei NetMon 3, dass die Capture Filter sehr "hoch" sein können. Ich kann z.B. gezielt SMB-Pakete mitschneiden, die einen bestimmten Dateinamen anfordern.
  • Testen sie ihren Filter
    Wenn Sie z.B.: auf IP-Adressen oder bestimmte Protokolle filtern, dann sollten Sie Testweise ein solches Paket

NetMon für Einsteiger

So eine Aufzählung ist zwar alles ganz nett, aber wenn Sie bislang noch nie mit NetMon gearbeitet haben, dann sollten ihnen diese ersten Schritt weiter helfen.

Netmon Startbildschirm

Sie können in diesem Fenster entweder einen der früheren Mitschnitte öffnen, oder einen neuen Mitschnitt starten.

Achtung:
Per Default ist der "Promiscous Mode" nicht aktiv, d.h. Netmon zeichnete nur Pakete des lokalen Systems und Broadcasts auf. Wenn Sie den im Bild rot gekennzeichneten Button "P-Mode" aktivieren, dann wird die Netzwerkkarte auf "offen" gestellt, dass alle Pakete zu NETMON gereicht werden, die an der Netzwerkkarte ankommen

Wer in einem Netzwerk mit Switches unterwegs ist, wird aber auch in diesem Mode nur einen Teil der Daten sehen. Interessant ist dies, wenn der PC mit NETMON an einem "Monitoring-Port" des Switch angeschlossen ist und so die Pakete der überwachten Station als Kopie erhält.

Globale Optionen

Im Gegensatz zum Netmon2 (Siehe auch NetMon) ist der Puffer von NETMON3 auch nicht mehr per Default auf 1 MB beschränkt, sondern protokolliert die Daten in Dateien von 20 Megabyte und stoppt den Mitschnitt per Default erst kurz bevor die Festplatte voll ist.

Netmon Buffereinstellungen

Die Einstellungen hier erlaubt nicht die Einrichtung eines Ringbuffers wie beim Netmon 2 !! Die Festplatte wird also immer "endlos" aufgefüllt

Sie können einen Ringbuffer nur über die Kommandozeile starten (Siehe unten)

Netmon 3.2 kommt per Default mit "Stub-Parsern", die man bei Bedarf auf "Full" aktivieren kann. Das verlängert dann die Ladezeit von NetMon aber erlaubt auch verschiedene Windows Pakete genauer anzuschauen. Unter "Tools- Options - Parser" kann man dies ändern.

Pakete mitschneiden

Wenn Sie dann ihre ersten Pakete mitschneiden, dann erkennen Sie sofort große unterschiede zur vorherigen Version:

Netmon3

Zum einen zeigt NetMon nun sofort die mitgeschnittenen Pakete an. Man kann also sogar während des Mitschnitts schon schauen und sogar Filter verändern. Auch unterscheidet NetMon gleich zwischen dem eigenen Traffic und fremdem Verkehr (z.B.: ARP-Broadcasts anderer Systeme)

Netmon 3.2

Hier ist eine Funktion wirklich neu: NetMon kann beim Mitschnitt auf dem lokalen System auch die Prozesse zuordnen. Aber auch die ganze Menge neuer Parser und die schnellere Verarbeitung ist ein wichtiger Entwicklungsschritt.

Netmon und Wifi

Wer man einen Blick in das Programmverzeichnis von NETMON riskiert, findet das Programm "nmwifi.exe".

Das lässt sich auch einfach starten und schon kann man, die richtige WIFI-Karte vorausgesetzt, mit Netmon sogar drahtlose Verbindungen mitschneiden:

Allerdings weist auch das Programm explizit darauf hin, dass nicht alle Treiber dies "stabil" unterstützen. Besser ist es daher, vorher mal die Daten aller anderen Programme zu speichern.

Netmon mit Ringpuffer und Kommandozeile NMCAP.EXE

Der Netmon 3 protokolliert, wie oben schon beschrieben, bis die Festplatte voll ist. Das ist natürlich keine geeignete Funktion für Langzeitprotokolle oder das "Warten" auf einen Fehler. Mit der Installation des Netmon landet aber auch eine Kommandozeilenversion auf dem PC, welche genau dies kann. Sie können damit z.B. einen Netzwerkmitschnitt laufen lassen, der bei einer bestimmten Bedingung beendet wird:

start "%ProgramFiles%\Microsoft Network Monitor 3\nmcap.exe" 
   /network * 
   /capture "ipv4.Address == 10.70.60.102"
   /file "test.cap" 
   /stopwhen /frame "ipv4.DestinationAddress==111.111.111.111" 
   /DisableConversations

So könnten Sie aus einem Batch z.B. einen NETMON im Hintergrund starten, welcher einfach nur auf ein Paket an die Adresse 111.111.111.111 wartet. Im folgenden könnten Sie also per Skript ihre Aktionen und Prüfungen durchführen (z.B. eine Ende zu Ende Monitoring mit end2endfile) und beim Fehler oder Abbruch einfach einen "Ping 111.111.111.111" absetzen, so dass NETMON auch stoppt.

NetMon Experts

Seit Netmon 3.3 gibt es auch eine Schnittstelle, über die weitere "Experten" sich in Netmon einklinken können. Der entsprechende Link im Menü springt direkt auf die passende Seite:

Hier die Links:

Nach der Installation wird das Menü entsprechend erweitert. Allerdings sind die statistischen Funktionen noch weiter hinter dem, was z.B. Wireshark bereit stellt. Insofern werde ich immer beide Programme mitführen.

Weitere Parser

Parser erweitern das Wissen von Netmon, um bestimmte Pakete detaillierter anzuzeugen.

Capture ohne NETMON mit NETSH

Kaum bekannt ist die Funktion, dass ein Administrator auch mit Bordmitteln seit Windows 7 schon Pakete mitschneiden kann. Die Auswertung der so gewonnenen Trace-Dateien kann ebenfalls wie gewohnt mit NETMON erfolgen. Einen Trace startet man mit:

netsh trace start persistent=yes capture=yes tracefile=c:\temp\nettrace.etl

Mit dem Parameter "persistent" wird der Mitschnitt auch beim Reboot weiter geführt und eignet sich so sehr gut für Analysen während des Start. Mit dem folgenden Befehl wird der Mitschnitt wieder beendet

netsh trace stop

Weitere Details finden Sie auf folgenden Seiten:

Caputure ohne Netmon mit PowerShell

Auch mit der PowerShell können Sie mal eben schnell einen Mitschnitt auf einem Windows System erzeugen. Die Daten landen dann in einer ETL-Datei.

# Zuerst müssen wir eine Session instanzieren. Ich nutze hier eine etl-Datei als Ziel
New-NetEventSession -Name Session1 -LocalFilePath "c:\tmep\capture.etl"

# Dann addiere das Capturemodul und beschränkte mich auf die ersten 120 Bytes (Platz sparen)
Add-NetEventPacketCaptureProvider -SessionName Session1 -Level 5 -CaptureType Physical -Truncationlength 120

# Die Parameter Add-NetEventPacketCaptureProvider erlauben auch weitere Filter
# Add-NetEventPacketCaptureProvider -SessionName Session1 -Level 5 -CaptureType Physical -EtherType 0x0800 -IPAddresses 192.168.0.1 -IpProtocols 6,17

Zuletzt starte ich den Trace
Start-NetEventSession -Name Session1


# Wenn ich all meine Daten erhalten habe, dann muss ich natürlich wieder alles zurückbauen
Stop-NetEventSession -Name Session1
Remove-NetEventSession -Name Session1

Die Auswertung der ETL-Datei kann ich dann z.B. mit dem Microsoft Message Analyzer durchführen.

Zusammenfassung

Es wurde Zeit, dass Microsoft den in die Jahre gekommenen NetMon 2 durch einen modernen Nachfolger ersetzt, der auch auf Vista funktioniert. Auch die Liste der Parser wurde erweitert und kann sogar selbst angepasst werden. Hier hat NetMon 3 viel dazugelernt auch wenn ich selbst und vermutlich viele andere Administratoren diese Funktionen gar nicht nutzen werden. Auch die farbliche Kennzeichnung nach Regeln hat NetMon 3 nun gelernt.

Insofern sicher ein großer Fortschritt für alle Firmen, die auf ihren Servern keine Fremdprodukte einsetzen wollen oder dürfen. Die leistungsfähigere Filterfunktion beim Mitschneiden reduziert die Größe der CAP-Daten. Mit welchem Programm man letztlich aber die CAP-Dateien dann analysiert, bleibt den persönlichem Vorlieben überlassen. Mit Wireshark und Packetyzer gibt es zwei weitere sehr leistungsfähige Programme für Windows.

Weitere Links