Windows Admin Center에서 패킷 모니터링 확장
적용 대상: Windows Server 2022, Windows Server 2019, Windows 10, Azure Stack Hub, Azure, Azure Stack HCI, 버전 21H2 및 20H2
패킷 모니터링 확장을 사용하면 Windows 관리 Center를 통해 패킷 모니터를 작동하고 사용할 수 있습니다. 이 확장을 사용하면 추적 및 조작하기 쉬운 로그의 네트워킹 스택을 통해 네트워크 트래픽을 캡처하고 표시하여 네트워크를 진단할 수 있습니다.
패킷 모니터(Pktmon)란?
Pktmon(패킷 모니터)은 Windows용 기본 구성 요소 간 네트워크 진단 도구입니다. 패킷 캡처, 패킷 삭제 검색, 패킷 필터링 및 계산에 사용할 수 있습니다. 이 도구는 네트워킹 스택 내에서 가시성을 제공하기 때문에 컨테이너 네트워킹 및 SDN과 같은 가상화 시나리오에서 특히 유용합니다.
Windows Admin Center란?
Windows 관리 Center는 Azure 또는 클라우드 종속성 없이 Windows Server를 관리할 수 있는 로컬로 배포된 브라우저 기반 관리 도구입니다. Windows Admin Center는 서버 인프라의 모든 측면에 대한 완전한 제어를 부여하며 인터넷에 연결되지 않은 개인 네트워크에서의 서버 관리에 특히 유용합니다. Windows Admin Center는 서버 관리자 및 MMC와 같은 "기본 제공" 관리 도구의 진화된 모델입니다.
시작하기 전에
- 이 도구를 사용하려면 대상 서버에서 Windows Server 2019 버전 1903 이상을 실행해야 합니다.
- Windows Admin Center 설치
- Windows 관리 Center에 서버를 추가합니다.
- 모든 커넥트 아래에서 +추가를 클릭합니다.
- Server 커넥트ion을 추가하도록 선택합니다.
- 서버의 이름을 입력하고 메시지가 표시되면 사용할 자격 증명을 입력합니다.
- 제출을 클릭하여 마칩니다.
서버가 개요 페이지의 연결 목록에 추가됩니다.
시작하기
도구로 이동하려면 이전 단계에서 만든 서버로 이동한 다음 , "패킷 모니터링" 확장으로 이동합니다.
필터 적용
패킷 캡처를 시작하기 전에 필터를 적용하는 것이 좋습니다. 단일 패킷 스트림에 집중할 때 특정 대상에 대한 연결 문제 해결이 더 쉽기 때문입니다. 반면에 모든 네트워크 트래픽을 캡처하면 출력이 너무 시끄럽게 분석할 수 없습니다. 따라서 확장은 캡처를 시작하기 전에 먼저 필터 창으로 안내합니다. 다음을 클릭하여 필터 없이 캡처를 시작하여 이 단계를 건너뛸 수 있습니다. 필터 창은 3단계로 필터를 추가하도록 안내합니다.
네트워킹 스택 구성 요소로 필터링
특정 구성 요소만 통과하는 트래픽을 캡처하려는 경우 필터링할 구성 요소를 선택할 수 있도록 필터 창의 첫 번째 단계에 네트워킹 스택 레이아웃이 표시됩니다. 또한 컴퓨터 네트워킹 스택의 레이아웃을 분석하고 이해하기에 좋은 장소입니다.
패킷 매개 변수로 필터링
두 번째 단계에서는 창에서 해당 매개 변수로 패킷을 필터링할 수 있습니다. 패킷을 보고하려면 하나 이상의 필터에 지정된 모든 조건과 일치해야 합니다. 최대 8개의 필터가 한 번에 지원됩니다. 각 필터에 대해 MAC 주소, IP 주소, 포트, 이더타입, 전송 프로토콜, VLAN ID와 같은 패킷 매개 변수를 지정할 수 있습니다.
- 두 개의 MAC, IP 또는 포트가 지정된 경우 도구는 원본 또는 대상을 구분하지 않습니다. 대상이든 원본이든 두 값이 모두 있는 패킷을 캡처합니다. 그러나 디스플레이 필터는 이러한 차이를 만들 수 있습니다. 아래의 필터 표시 섹션을 참조하세요.
- TCP 패킷을 추가로 필터링하기 위해 일치시킬 TCP 플래그의 선택적 목록을 제공할 수 있습니다. 지원되는 플래그는 FIN, SYN, RST, PSH, ACK, URG, ECE 및 CWR입니다.
- 캡슐화 상자가 검사 경우 도구는 외부 패킷 외에도 캡슐화된 내부 패킷에 필터를 적용합니다. 지원되는 캡슐화 방법은 VXLAN, GRE, NVGRE 및 IP-in-IP입니다. 사용자 지정 VXLAN 포트는 선택 사항이며 기본값은 4789입니다.
패킷 흐름 상태 필터링
패킷 모니터는 기본적으로 흐름 및 삭제된 패킷을 캡처합니다. 삭제된 패킷에서만 캡처하려면 삭제된 패킷을 선택합니다.
그런 다음 선택한 모든 필터 조건에 대한 요약이 검토용으로 표시됩니다. 캡처 조건 단추를 통해 캡처를 시작한 후 해당 보기를 검색할 수 있습니다.
캡처 로그
결과는 캡처된 패킷의 기본 매개 변수를 보여 주는 테이블에 표시됩니다. 타임스탬프, 원본 IP 주소, 원본 포트, 대상 IP 주소, 대상 포트, 이더타입, 프로토콜, TCP 플래그, 패킷 삭제 여부 및 삭제 이유.
- 이러한 각 패킷에 대한 타임스탬프는 선택한 패킷에 대한 자세한 정보를 찾을 수 있는 다른 페이지로 리디렉션되는 하이퍼링크이기도 합니다. 아래 세부 정보 페이지 섹션을 참조하세요.
- 삭제된 모든 패킷은 삭제된 탭에 "True" 값이 있고 삭제 이유가 있으며 보다 쉽게 정확하게 파악할 수 있도록 빨간색 텍스트로 표시됩니다.
- 모든 탭은 오름차순 및 내림차순으로 정렬할 수 있습니다.
- 검색 창을 사용하여 로그의 모든 열에서 값을 검색할 수 있습니다.
- 다시 시작 단추를 사용하여 동일한 선택한 필터로 캡처를 다시 시작할 수 있습니다.
세부 정보 페이지
이 페이지는 로컬 네트워킹 스택의 각 구성 요소에서 이동하는 패킷의 스냅샷 제공합니다. 이 보기에서는 패킷 흐름 경로를 보여 줍니다. 이를 통해 전달되는 각 구성 요소에서 패킷이 처리될 때 패킷이 어떻게 변경되는지 조사할 수 있습니다.
- 패킷 스냅샷 각 어댑터/스위치 스택별로 그룹화됩니다. 즉, 어댑터/스위치에서 캡처한 패킷 스냅샷, 해당 필터 드라이버 및 해당 프로토콜 드라이버는 어댑터/스위치의 이름으로 그룹화됩니다. 이렇게 하면 한 어댑터에서 다른 어댑터로 패킷의 흐름을 더 쉽게 따를 수 있습니다.
- 스냅샷 선택하면 원시 패킷 헤더를 포함하여 이 특정 스냅샷 대한 자세한 정보가 표시됩니다.
- 삭제된 모든 패킷은 삭제된 탭에 "True" 값이 있고 삭제 이유가 있으며 보다 쉽게 정확하게 파악할 수 있도록 빨간색 텍스트로 표시됩니다.
필터 표시
표시 필터를 사용하면 패킷을 캡처한 후 로그를 필터링할 수 있습니다. 각 필터에 대해 MAC 주소, IP 주소, 포트, Ethertype 및 전송 프로토콜과 같은 패킷 매개 변수를 지정할 수 있습니다. 캡처 필터와 달리:
- 표시 필터는 IP 주소, MAC 주소 및 포트의 원본과 대상을 구분할 수 있습니다.
- 표시 필터를 적용한 후 삭제하고 편집하여 로그 보기를 변경할 수 있습니다.
- 저장된 로그에서 디스플레이 필터가 반전됩니다.
저장 기능
저장 단추를 사용하면 로컬 컴퓨터, 원격 컴퓨터 또는 둘 다에 로그를 저장할 수 있습니다. 저장된 로그에서 디스플레이 필터가 반전됩니다.
- 로그가 로컬 컴퓨터에 저장되면 다음과 같은 다양한 형식으로 저장할 수 있습니다.
- Microsoft 네트워크 모니터를 사용하여 분석할 수 있는 Etl 형식입니다. 참고: 자세한 내용은 이 페이지를 확인하세요.
- TextAnalysisTool.NET 같은 텍스트 편집기를 사용하여 분석할 수 있는 텍스트 형식입니다.
- Wireshark와 같은 도구를 사용하여 분석할 수 있는 Pcapng 형식입니다.
- 이 변환 중에는 대부분의 패킷 모니터 메타데이터가 손실됩니다. 자세한 내용은 이 페이지를 확인하세요.
기능 열기
열린 기능을 사용하면 마지막으로 저장된 5개의 로그 중 하나라도 다시 열어 도구를 통해 분석할 수 있습니다.
