| |
| |
| Verwenden von Filtern |
| | |
Distinct Network Monitor erlaubt Ihnen das Erstellen und Verwenden von mächtigen Filtern.
Sie können selbst auf eine bereits beendete Aufzeichnung einen Filter anwenden, wenn Sie
z.B. nur bestimmte Pakete in einer Datei speichern möchten, oder Sie können Filter auf
eine bereits existierende Datei anwenden. Egal welche Filtermethode Sie benutzen, Sie müssen
ihren Paket Filter zunächst erstellen. Distinct Network Monitor wird mit einigen
vorkonfigurierten Filter ausgeliefert. Sie können diese Filter nach Belieben verändern,
umbenennen oder löschen.
|
| Erstellen eines einfachen Filters |
| | |
Um einen neuen Filter zu erstellen, gehen Sie bitte wie folgt vor:
- Wählen Sie den Menupunkt Define Filters aus dem Capture Menu.
- Wählen Sie New. Geben Sie ihrem Filter einen beschreibenden Namen. Wenn Sie z.B.
einen Filter für Email Protokolle erstellen möchten, könnten Sie ihrem Filter den
Namen "Filter für Email Protokolle" geben.
- Im Feld "Description" können Sie eine Beschreibung für den Filter
eingeben, die Sie später daran erinnert, warum Sie diesen Filter erstellt haben.
- Als nächstes
müssen Sie die Protokolle auswählen, die gefiltert werden sollen. In unserem Beispiel
mit den Email-Protokollen könnten Sie z.B. POP3, IMAP und SMTP auswählen.
Die einzelen Protokolle müssen eins nach dem anderen,
durch auswählen des Protokolls und anschliessendes Klicken des Add Buttons
hinzugefügt werden.
- Sie können die Aufzeichnung auf bestimmte Systeme, mit denen Sie Probleme haben
beschränken. Wenn Sie z.B. ein Problem diagnostizieren möchten, dass zwischen Jim's
Computer und dem Email-Server besteht, wählen Sie die Option Filter by IP address,
und markieren Sie den Between IP address and IP address Radio-Button. Dann geben Sie die
IP-Adresse von Jim's Computer sowie die IP-Addresse des Email-Servers ein. Dies führt
dazu, dass nicht benötigte Pakete herausgefiltert werden, die Aufzeichnung leichter lesbar
wird und das Problem schneller diagnostiziert werden kann.
- Wenn Sie alle Protokolle die verwendet werden sollen ausgewählt,
sowie etwaige andere Restriktionen die beachtet werden sollen angegeben haben, klicken Sie auf den
OK Button zum Erstellen des Filters.
|
| Erstellen von Filtern zum Überwachen eines einzelnen Systems |
| | |
Wenn Sie einen Filter erstellen möchten, der nur die ankommenden und abgehenden Pakete
für ein einzelnes System filtert, gehen Sie bitte folgendermassen vor:
- Wählen Sie den Menupunkt Define Filters aus dem Capture Menu.
- Wählen Sie New. Geben Sie ihrem Filter einen beschreibenden Namen. Wenn Sie z.B.
einen Filter für die Email Protokolle auf ihren Email-Server mit dem Namen "Aquarius"
erstellen möchten, könnten Sie ihren Filter "Email Protokolle auf Aquarius" nennen.
- Geben Sie in das "Description" Feld eine kurze Beschreibung ein, die Sie später daran
erinnert, warum Sie diesen Filter erstellt haben.
- Als nächstes müssen Sie die Protokolle auswählen, die herausgefiltert werden
sollen. Wenn Sie alle Packete herausfiltern möchten, können Sie hier "IP"
auswählen. Andernfalls wählen Sie alle Protkolle aus, die herausgefiltert werden
sollen, und fügen Sie sie dem Filter hinzu. Für die Email-Protokolle können Sie
SMTP, POP3 und IMAP auswählen.
- Markieren Sie die Filter by IP address Box und wählen Sie die From or To IP
address Option. Geben Sie jetzt die IP-Adresse für das System ein, das überwacht
werden soll.
- Klicken Sie den Add Button und den OK Button, um die Operation zu
vervollständigen.
Der Filter kann jetzt verwendet werden um existierende Dateien zu filtern oder in
zukünftigen Aufzeichnungen als Filter ausgewählt werden.
Anmerkung: Sie müssen den zu verwendenden Filter auswählen, bevor Sie mit der
Aufzeichnung beginnen. Der Filter kann über den Menupunkt "Settings" im Menu "Capture"
ausgewählt werden.
|
| Erstellen von komplexeren Filtern |
| | |
Die "New Packet Filter" Dialog Box erlaubt das Erstellen von ausgeklügelten Filtern. Sie
können nicht nur Filter erstellen die ein bestimmtes Protokoll herausfiltern, sondern auch
Filter die ab einem Offset nach einem bestimmten Wert suchen bzw. Filter die nach einem Wert
innerhalb eines vordefinierten Felds in einem Paket suchen, z.B. nach einer bestimmten "Source
Hardware Address" in einem ARP Paket. Wenn es sich bei dem Wert um einen Hex-Zahl handelt,
müssen Sie der Zahl die Zeichenfolge "0x" voranstellen. Für den Wert "000186A0" muss
also z.B. "0x000186A0" eingeben werden.
Wenn Sie "by offset" filtern wollen, denken Sie bitte daran, dass sich der Offset auf das
betreffende Protokoll bezieht, das Sie ausgewählt haben. Wenn sich der Offset auf den
absoluten Beginn eines Pakets beziehen soll, müssen Sie hier als Protokoll Ethernet oder
Token Ring auswählen. Beachten Sie, dass dies zu unerwarteten Ergebnissen führen kann,
da ein solches Paket auch TCP/IP Optionen "transportieren" kann, von denen Sie nicht wissen,
dass sie sich im Paket befinden.
Beim Erstellen der Filter können Protokolle nicht nur eingeschlossen, sondern auch explizit
ausgeschlossen werden. Protokolle die explizit ausgeschlossen werden sollen, können
über die Option "by excluding selected protocols" angegeben werden. Zum Beispiel
können Sie einen Filter erstellen, der alle RPC Pakete filtert, UDP Pakete aber
ausschliesst, was bedeutet dass nur RPC Pakete die über TCP verschickt werden
herausgefiltert werden.
|
| Filtern nach Offset |
| | |
Sie können sehr nützliche Filter mit Offsets (Paket-Positionsangaben) erstellen.
Weiter unten liefern wir ein Beispiel zum Erstellen eines Filters, der nur RPC Portmapper
Pakete herausfiltert.
- Wählen Sie den Menupunkt Define Filters aus dem Menu Capture.
- Wählen Sie New. Geben Sie ihrem Filter einen beschreibenden Namen, z.B.
"Filter für Portmapper".
- Geben Sie eine kurze Beschreibung des Filters im "Description" Feld an, die Sie
später daran erinnert, für was Sie diesen Filter erstellt haben.
- Als nächstes müssen Sie die Protokolle auswählen, die gefiltert werden sollen.
Wählen Sie ONC RPC.
- Markieren Sie den Filter by Offset Radio Button. Fügen Sie
den Offset 12 ein, als Offset-Angabe für die Programmnummer.
Für "Type" wählen Sie "Double Word". Geben Sie als Wert "100.000" im hexadezimalem
Format in das zugehörige Eingabefeld ein. Denken Sie daran, dass einer Hex-Zahl die
Zeichenfolge "0x" vorangestellt werden muss. Klicken Sie auf den Add Button. Als
nächstes fügen Sie den Offset 16 hinzu, als Offset für die Versionsnummer
des Portmappers. Setzen Sie das Feld "Type" auf "Double Word" und geben Sie als Wert 2
ein. Klicken Sie auf den Add Button.
- Klicken Sie auf Ok, um den Filter zu erstellen.
|
| Filtern von Feldern |
| | |
Einige der Protokoll-Filter besitzen vordefinierte Felder, die Sie zum Filtern verwenden
können. Als Beispiel werden wir einen Filter erstellen, der nur TCP und UDP Pakete
durchlässt, die über den Port 443 versendet oder empfangen werden.
- Wählen Sie den Menupunkt Define Filters aus dem Menu Capture.
- Wählen Sie New. Geben Sie ihrem Filter einen beschreibenden Namen, z.B.
"Filter für Port 443".
- Geben Sie eine kurze Beschreibung ihres Filters in das "Description" Feld ein, die Sie
später daran erinnert, für was Sie diesen Filter erstellt haben.
- Als nächstes müssen Sie das Protokoll angeben, das herausgefiltert werden soll.
Wählen Sie TCP.
- Markieren Sie den Filter by Field Radio Button und wählen Sie den Eintrag
Source Port aus der Pull Down List. Geben Sie hier den Wert 443 ein. Klicken Sie auf
den Add Button, um diese Regel ihrem Filter hinzuzufügen.
- Als nächstes müssen Sie den Destination Port aus der Pull Down List
auswählen. Geben Sie hier ebenfalls den Wert 443 ein. Klicken Sie auf den Add Button
Button, um diese Regel ihrem Filter hinzuzufügen.
- Wiederholen Sie Schritt 4 bis 6 für das UDP Protokoll.
- Die Regeln sind nun generiert. Klicken Sie auf Ok, um diesen Filter zu erstellen.
|
| Einen Filter verwenden |
| | |
Ein Filter kann auf das im Netz Aufgezeichnete angewendet werden, um eine Ansammlung
von Daten, die für die Diagnose des Problems unerheblich sind zu vermeiden. Der Filter, der
verwendet werden soll, muss in der "Capture Filter" Pull Down List im "Capture Settings" Dialog
des Menus "Capture" angegeben werden. Wenn Sie hier einen Filter auswählen, bleibt dieser
für alle nachfolgenden Aufzeichnungen aktiv und muss entweder entfernt oder durch einen
anderen Filter ersetzt werden. Der Aufzeichnungsfilter kann auch über den Menupunkt
Apply Filter im Menu Capture abgeändert werden.
|
| Einen Filter auf eine Datei anwenden |
| | |
Wenn Sie einen Filter auf eine Aufzeichnung-Datei anwenden möchten, müssen Sie diese
Datei zunächst laden. Dann müssen Sie über den Menupunkt Apply Filter
im Menu Capture den Filter auswählen, mit dem Sie die Datei filtern möchten.
Sobald Sie den Ok Button gedrückt haben, wird die Datei automatisch mit dem
angegebenen Filter gefiltert.
Speichern des Ergebnisses einer gefilterten Datei
Wenn Sie einen Filter auf eine Datei angewendet haben, können Sie das Ergebnis in einer
neuen Datei über den Menupunkt Save As im Menu File speichern.
|
| Verwalten der Filter |
| | |
Existierende Filter können über den Menupunkt Define Filters im Capture
Menu verändert, dupliziert oder gelöscht werden. Wählen Sie einfach den Filter
aus den Sie verändern, duplizieren oder löschen möchten, und klicken Sie auf den
entsprechenden Funktions-Button.
|
| <<< Inhaltsverzeichnis >>> | |
|
|
