Analyser l’architecture
L’illustration suivante montre la relation entre les analyses et les autres composants de l’architecture Moniteur réseau.

Le trafic réseau est collecté (sous forme de trames individuelles) à partir du pilote NDIS. Le pilote de Moniteur réseau (Nmnt.sys) achemine ensuite les trames vers un fournisseur de paquets réseau (NPP), qui à son tour capture les données en temps réel. Le NPP est une collection d’interfaces COM utilisées pour capturer des données. Dans ce cas, l’interface IRTC est utilisée pour effectuer une capture en temps réel.
Notes
Le NPP est utilisé pour les captures retardées et en temps réel. Pour les captures différées utilisées par les experts et les analyseurs, l’interface IDelaydC est utilisée.
Le moniteur examine ensuite les données capturées en temps réel, en détectant les conditions réseau spécifiques et en générant les événements nécessaires.
Trois autres composants sont utilisés par les applications de surveillance : l’outil de contrôle de l’analyse, le service de contrôle d’analyse (MCSVC) et le observateur d’événements :
- L’outil de contrôle de l’analyse est utilisé pour gérer vos applications de surveillance. Cela comprend la configuration et l’exécution de toutes les applications du moniteur.
- Le service de contrôle de l’analyse (MCSVC) déclenche des événements, fournit un lien de communication vers WMI pour l’affichage des événements et coordonne le traitement des opérations du moniteur.
- Le observateur d’événements affiche les événements déclenchés par le service de contrôle de l’analyse.