Downloaded 140 times
![Message Analyzer でパケット キャプチャ2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #32141. Message Analyzer を起動2. [Start Local Trace] をクリックまたは1. Message Analyzer を起動2. [New Session] をクリック3. [Live Trace] をクリック4. [Trace Scenario] で [Local Network Interface] を選択5. [Start] をクリック](/image.pl?url=https%3a%2f%2fimage.slidesharecdn.com%2fmessageanalyzerreintro-150928145540-lva1-app6892%2f75%2fMessage-Analyzer-1-14-2048.jpg&f=jpg&w=240)
![パケット キャプチャの停止2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3219 ツールバーの [Stop] ボタン [Session] メニュー – [Stop]](/image.pl?url=https%3a%2f%2fimage.slidesharecdn.com%2fmessageanalyzerreintro-150928145540-lva1-app6892%2f75%2fMessage-Analyzer-1-19-2048.jpg&f=jpg&w=240)
![データの保存2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3220 ツールバーの [Save] ボタン [File] メニュー – [Save] [Save as] で cap 形式 (Microsoft Network Monitor 形式) で保存できる ⇒ Wireshark で開けます](/image.pl?url=https%3a%2f%2fimage.slidesharecdn.com%2fmessageanalyzerreintro-150928145540-lva1-app6892%2f75%2fMessage-Analyzer-1-20-2048.jpg&f=jpg&w=240)
![他のコントローラを使う2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3221 Message Analyzer 以外の ETW コントローラ logman コマンド パフォーマンス モニタ (perfmon.exe)– [データ コレクター セット]– [イベント トレース セッション] いずれも「管理者として実行」が必要](/image.pl?url=https%3a%2f%2fimage.slidesharecdn.com%2fmessageanalyzerreintro-150928145540-lva1-app6892%2f75%2fMessage-Analyzer-1-21-2048.jpg&f=jpg&w=240)
Uploaded by彰 村地
PPTX, PDF3,950 views
Message Analyzer 再入門【1】
2015/9/28 開催・第32回「ネットワーク パケットを読む会(仮)」での発表スライド。Microsoft Message Analyzer についての解説シリーズ第1回です。Microsoft のネットワーク パケット キャプチャ ツールの歴史、Message Analyzer の動作原理、ETW の動作原理について解説しています。
Recommended
More Related Content
What's hot
Similar to Message Analyzer 再入門【1】
More from 彰 村地
Message Analyzer 再入門【1】
- 1.Message Analyzer 再入門【1】Murachi Akira aka hebikuzureThis work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 InternationalLicense.
- 2.About me 村地彰 aka hebikuzure http://www.murachi.net/ http://www.hebikuzure.com/ https://hebikuzure.wordpress.com/ Microsoft MVP(Internet Explorer)Apr. 2011 ~2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #322
- 3.Microsoft のパケットキャプチャ ツール2015/9/28©2015 Murachi Akira - CC BY-NC-ND - #pakeana #323 Network Monitor 2.x MicrosoftSystems ManagementServer (SMS) に付属していたツール 機能限定版が無償提供されていた Windows Vista 以降では利用できない Network Monitor 3.x Windows Vista 以降で利用可能 (Windows 10 は NG?) フル機能版が無償提供された Microsoft Message Analyzer Network Monitor の後継 「パケット キャプチャ ツール」ではない ETW ログ解析ツール
- 4.Microsoft Message Analyzerの入手と情報2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #324 ダウンロード ページhttp://www.microsoft.com/en-us/download/details.aspx?id=44226 最新版は ver. 1.3.1 (2015/7/30 リリース) Message Analyzer Bloghttp://blogs.technet.com/b/messageanalyzer/ サポート フォーラムhttps://social.msdn.microsoft.com/Forums/windowsdesktop/en-us/home?forum=messageanalyzer
- 5.ETW = EventTracing for Windows2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #325 Windows のコンポーネントに対してトレース ログを出力させる仕組み Window のコンポーネント以外のカーネルモード/ユーザーモード ドライバー、ユーザーモード アプリケーションでも実装可能 Checked Build によるデバッグ プリントより高速でモジュール本来の動作に与える影響が少ない 動的な有効化/無効化が可能 出力されるログはバイナリ データ 表示/解析にはツールが必要
- 6.ETW の仕組み2015/9/28© 2015Murachi Akira - CC BY-NC-ND - #pakeana #326http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/27/event-tracing-for-windows-etw.aspx より
- 7.ETW の仕組み2015/9/28© 2015Murachi Akira - CC BY-NC-ND - #pakeana #327トレース採取対象のドライバーアプリケーショントレース有効化/無効化
- 8.ETW の仕組み2015/9/28© 2015Murachi Akira - CC BY-NC-ND - #pakeana #328トレース データの配信セッションの作成/管理
- 9.ETW の仕組み2015/9/28© 2015Murachi Akira - CC BY-NC-ND - #pakeana #329トレースの配信
- 10.ETW の仕組み2015/9/28© 2015Murachi Akira - CC BY-NC-ND - #pakeana #3210Message Analyzer
- 11.ETW で「ネットワーク トレース」2015/9/28©2015 Murachi Akira - CC BY-NC-ND - #pakeana #3211 プロバイダ「Microsoft-Windows-NDIS-PacketCapture」のトレースを採取する Windows 8 以降から利用可能なプロバイダ Network Monitor と同等のパケット キャプチャが可能
- 12.NDIS2015/9/28© 2015 MurachiAkira - CC BY-NC-ND - #pakeana #3212 Network Driver Interface Specification %SystemRoot%System32DriversNdis.syshttp://blogs.msdn.com/b/jpwdkblog/archive/2010/08/31/windows-network-driver.aspx
- 13.NDIS-PacketCapture プロバイダの問題2015/9/28© 2015Murachi Akira - CC BY-NC-ND - #pakeana #3213 Windows 7 以前では利用できない プロバイダを有効にするために管理者権限が必要※ Message Analyzer から利用する場合、MessageAnalyzer を「管理者として実行」する必要がある
- 14.Message Analyzer でパケットキャプチャ2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #32141. Message Analyzer を起動2. [Start Local Trace] をクリックまたは1. Message Analyzer を起動2. [New Session] をクリック3. [Live Trace] をクリック4. [Trace Scenario] で [Local Network Interface] を選択5. [Start] をクリック
- 15.パケット キャプチャの開始 –方法12015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3215
- 16.パケット キャプチャの開始 –方法22015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3216– 方法1
- 17.パケット キャプチャの開始 –方法2 (2)2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3217– 方法1
- 18.パケット キャプチャの開始 –方法2 (3)2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3218– 方法1
- 19.パケット キャプチャの停止2015/9/28© 2015Murachi Akira - CC BY-NC-ND - #pakeana #3219 ツールバーの [Stop] ボタン [Session] メニュー – [Stop]
- 20.データの保存2015/9/28© 2015 MurachiAkira - CC BY-NC-ND - #pakeana #3220 ツールバーの [Save] ボタン [File] メニュー – [Save] [Save as] で cap 形式 (Microsoft Network Monitor 形式) で保存できる ⇒ Wireshark で開けます
- 21.他のコントローラを使う2015/9/28© 2015 MurachiAkira - CC BY-NC-ND - #pakeana #3221 Message Analyzer 以外の ETW コントローラ logman コマンド パフォーマンス モニタ (perfmon.exe)– [データ コレクター セット]– [イベント トレース セッション] いずれも「管理者として実行」が必要
- 22.参考資料2015/9/28© 2015 MurachiAkira - CC BY-NC-ND - #pakeana #3222 ETW へのご招待http://blogs.msdn.com/b/tsmatsuz/archive/2008/01/23/etw.aspx Event Tracing for Windows (ETW)http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/27/event-tracing-for-windows-etw.aspx FAQ: Common Questions for ETW and Windows Event Loghttps://social.msdn.microsoft.com/Forums/ja-JP/a1aa1350-41a0-4490-9ae3-9b4520aeb9d4/faq-common-questions-for-etw-and-windows-event-log Event Tracing for Windows (ETW) Simplifiedhttps://support.microsoft.com/en-us/kb/2593157