Microsoft Message Analyzer の紹介

村地 彰 aka hebikuzure

This material provided by CC BY-NC-ND 4.0. See http://creativecommons.org/licenses/by-nc-nd/4.0/

About me 村地　彰 aka hebikuzure 　株式会社シーピーエス

http://www.murachi.net/ http://www.hebikuzure.com/ Microsoft MVP (Internet Explorer) Apr. 2011 ～

2014/9/22 2© 2014 Murachi Akira - CC BY-NC-ND - pakeana #21

Microsoft Message Analyzer Microsoft Network Monitor の後継ツール Download Microsoft Message Analyzer◦http://www.microsoft.com/en-us/download/details.aspx?id=40308

◦http://bit.ly/MessageAnalyzer

2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 3

NetMon との違い ETW (Event Tracing for Windows) を利用してトレース ログ採取◦ 「パケット キャプチャ ツール」ではない

ネットワークレベルより上位のレイヤーのトレース ログが採取可能

2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 4

ETW の概念

2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 5

http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/27/event-tracing-for-windows-etw.aspx より引用

ETW の活用 ETW は Windows 2000 以降で利用可能 ドライバーを含むソフトウェアのデバッグ出力が元々の目的 新しい Windows のリリースごとに機能が強化されている◦ http://msdn.microsoft.com/ja-jp/library/window

s/desktop/dd392330.aspx

2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 6

インストール システム要件

◦ Windows 7, Windows 8, Windows 8.1, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2

◦ .NET Framework 4.0 (.NET Framework 4.5 推奨 )◦ RAM: 64-bit: 最小 2GB, 推奨 8GB

32-bit: Minimum: 2GB◦ CPU: 最低 1.4 GHz, 推奨 2 x 2.80 GHz (64-bit)

ダウンロードしたファイルを実行

2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 7

画面

2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 8

トレースの開始1. [File] – [New Session] – [Live Trace]2. [Trace Scenario] を選択3. [Start]

2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 9

Trace Scenario 有効にする ETW プロバイダーがプリセットされている

2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 10

ネットワーク トレースの採取 [Trace Scenario] で以下のいずれかを選択

◦ Local Network Interfaces (Win 8 and earlier) ◦ Local Network Interfaces (Win 8.1 and later)

または◦ Wired Local Area Network (Win 8 and earlier) ◦ Wired Local Area Network (Win 8.1 and later) ◦ Wireless Local Area Network (Win 8 and earlier) ◦ Wireless Local Area Network (Win 8.1 and later)

2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 11

参考 : http://technet.microsoft.com/en-us/library/jj659262.aspx

Filter NetMon と同じフィルターが設定できる

2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 12

Viewpoints トレースを分析するプロトコル レイヤーをプリセットした「視点」◦ [Viewpoints] から選択、 [Default Viewpoint] で解除

◦ Viewpoint の編集、追加は今後機能追加

2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 13

上位レイヤーのトレース(SMB) Trace Scenario で [File Sharing] から選択すると SMB の ETW トレースが採取できる

2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 14

USB / Bluetooth のトレース Trace Scenario で [Device] から選択すると USB / Bluetooth の ETW トレースが採取できる

2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 15

Pros OS の標準機能だけでトレース ログが採取できる (OS バージョンに制限有り ) 必要なレイヤーでログが採取できる ログのパース ( 解析 ) が強力 リモート トレースも可能 (OS バージョンに制限有り )

2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 16

Cons 生パケット データが見えない 動作環境が限られる 動作が重い ( トレース採取の負荷、パースの負荷ともに高くなる場合がある ) 不足している機能がまだある

2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 17

結論 ネットワーク レベルのパケット解析には向かない 上位レイヤーを含めた解析には使える 今後の機能強化に期待

2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 18