Message Analyzer 再入門【1】

Message Analyzer 再入門【 1 】Murachi Akira aka hebikuzure

This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

About me 村地　彰 aka hebikuzure http://www.murachi.net/ http://www.hebikuzure.com/ https://hebikuzure.wordpress.com/ Microsoft MVP (Internet Explorer) Apr. 2011 ～

2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #322

© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #323

Microsoft のパケットキャプチャツール

2015/9/28

Network Monitor 2.x Microsoft Systems Management Server (SMS) に付属していたツール機能限定版が無償提供されていた Windows Vista 以降では利用できない

Network Monitor 3.x Windows Vista 以降で利用可能 (Windows 10 は

NG ？ ) フル機能版が無償提供された

Microsoft Message Analyzer Network Monitor の後継「パケットキャプチャツール」ではない ETW ログ解析ツール


Microsoft Message Analyzer の入手と情報

2015/9/28

ダウンロードページhttp://www.microsoft.com/en-us/download/details.aspx?id=44226

最新版は　 ver. 1.3.1 (2015/7/30 リリース ) Message Analyzer Blog

http://blogs.technet.com/b/messageanalyzer/ サポートフォーラム

https://social.msdn.microsoft.com/Forums/windowsdesktop/en-us/home?forum=messageanalyzer


ETW = Event Tracing for Windows

2015/9/28

Windows のコンポーネントに対してトレースログを出力させる仕組み Window のコンポーネント以外のカーネルモード / ユーザーモードドライバー、ユーザーモードアプリケーションでも実装可能 Checked Build によるデバッグプリントより高速でモジュール本来の動作に与える影響が少ない動的な有効化 / 無効化が可能出力されるログはバイナリデータ

表示 / 解析にはツールが必要


ETW の仕組み

2015/9/28http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/27/event-tracing-for-windows-etw.aspx より


ETW の仕組み

2015/9/28

トレース採取対象のドライバーアプリケーション

トレース有効化 / 無効化


ETW の仕組み

2015/9/28

トレースデータの配信

セッションの作成 / 管理


ETW の仕組み

2015/9/28

トレースの配信


ETW の仕組み

2015/9/28

Message Analyzer


ETW で「ネットワークトレース」

2015/9/28

プロバイダ「 Microsoft-Windows-NDIS-PacketCapture 」のトレースを採取する Windows 8 以降から利用可能なプロバイダ Network Monitor と同等のパケットキャプチャが可能


NDIS

2015/9/28

Network Driver Interface Specification %SystemRoot%\System32\Drivers\Ndis.sys

http://blogs.msdn.com/b/jpwdkblog/archive/2010/08/31/windows-network-driver.aspx


NDIS-PacketCapture プロバイダの問題

2015/9/28

Windows 7 以前では利用できないプロバイダを有効にするために管理者権限が必要※ Message Analyzer から利用する場合、 Message Analyzer を「管理者として実行」する必要がある


Message Analyzer でパケットキャプチャ

2015/9/28

1. Message Analyzer を起動2. [Start Local Trace] をクリックまたは3. Message Analyzer を起動4. [New Session] をクリック5. [Live Trace] をクリック6. [Trace Scenario] で [Local Network Interface] を選択7. [Start] をクリック


パケットキャプチャの開始 – 方法 1

2015/9/28


パケットキャプチャの開始 – 方法 2

2015/9/28

– 方法 1


パケットキャプチャの開始 – 方法 2 (2)

2015/9/28

– 方法 1


パケットキャプチャの開始 – 方法 2 (3)

2015/9/28

– 方法 1


パケットキャプチャの停止

2015/9/28

ツールバーの [Stop] ボタン [Session] メニュー – [Stop]


データの保存

2015/9/28

ツールバーの [Save] ボタン [File] メニュー – [Save]

[Save as] で cap 形式 (Microsoft Network Monitor 形式 ) で保存できる ⇒ Wireshark で開けます


他のコントローラを使う

2015/9/28

Message Analyzer 以外の ETW コントローラ logman コマンドパフォーマンスモニタ (perfmon.exe)

– [ データコレクターセット ] – [ イベントトレースセッション ]

いずれも「管理者として実行」が必要


参考資料

2015/9/28

ETW へのご招待http://blogs.msdn.com/b/tsmatsuz/archive/2008/01/23/etw.aspx

Event Tracing for Windows (ETW)http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/27/event-tracing-for-windows-etw.aspx

FAQ: Common Questions for ETW and Windows Event Loghttps://social.msdn.microsoft.com/Forums/ja-JP/a1aa1350-41a0-4490-9ae3-9b4520aeb9d4/faq-common-questions-for-etw-and-windows-event-log

Event Tracing for Windows (ETW) Simplifiedhttps://support.microsoft.com/en-us/kb/2593157

Technology

Message Analyzer 再入門【1】