使用网络监视器收集数据

本文介绍如何使用 Microsoft 网络监视器 3.4,这是一种用于捕获网络流量的工具。

备注

网络监视器是存档的协议分析器,不再在开发中。 此外,Microsoft Message Analyzer (MMA) 已停用,其下载包已于 2019 年 11 月 25 日从 microsoft.com 站点删除。 目前开发中的 Microsoft 消息分析器目前没有 Microsoft 替代项。 对于类似的功能,请考虑使用另一个非 Microsoft 网络协议分析器工具。 有关详细信息,请参阅 Microsoft Message Analyzer 操作指南

若要开始, 请下载网络监视器工具。 安装网络监视器时,它会安装其驱动程序并将其挂钩到设备上安装的所有网络适配器。 可以在适配器属性上看到相同的内容,如下图所示:

适配器。

当驱动程序在安装过程中挂接到网络接口卡 (NIC) 时,NIC 会重新初始化,这可能会导致短暂的网络故障。

捕获流量

  1. 通过选择 “以管理员身份运行”,以提升的状态运行 netmon。

    Netmon 的"开始"菜单搜索结果的图像。

  2. 将打开网络监视器,并显示所有网络适配器。 选择要在其中捕获流量的网络适配器,单击 “新建捕获”,然后选择 "开始"菜单

    菜单上“新建捕获”选项的图像。

  3. 重现问题,你将看到网络监视器在网络上抓取数据包。

    网络数据包的框架摘要。

  4. 选择 “停止”,然后转到 “文件>保存 以保存结果。 默认情况下,该文件将保存为“.cap”文件。

保存的文件捕获了流向本地计算机上所选网络适配器的所有流量。 但是,你的兴趣只是调查与你面临的特定连接问题相关的流量/数据包。 因此,需要筛选网络捕获以仅查看相关流量。

常用筛选器

  • Ipv4.address==“client ip”和 ipv4.address==“server ip”
  • Tcp.port==
  • Udp.port==
  • Icmp
  • Arp
  • Property.tcpretranmits
  • Property.tcprequestfastretransmits
  • Tcp.flags.syn==1

提示

如果要筛选特定字段的捕获,但不知道该筛选器的语法,只需右键单击该字段,然后选择 “将 所选值 添加到显示筛选器”。

使用内置到Windows的 netsh 命令收集的网络跟踪属于扩展“ETL”。 但是,可以使用网络监视器打开这些 ETL 文件以进行进一步分析。

更多信息

使用网络监视器 3.0 进行筛选简介
网络监视器筛选器示例
网络监视器无线筛选
网络监视器 TCP 筛选
网络监视器对话筛选
如何使用网络监视器工具设置和收集网络捕获