windows純正パケットキャプチャソフト「Microsoft Message Analyzer」netsh traceからログ解析可能

パケットキャプチャのフリーソフトとしては、ネットワークエンジニアには

  • Wireshark

が超有名ですよね。
しかし、Windowsのマイクロソフト社もフリーでパケットキャプチャ出来てログ解析できるツールを提供しています。

  • Microsoft Network Monitor (~2014年まで)
  • Microsoft message analyzer (2014年~)

ということで、microsoft message analyzerをインストールし、使ってみました。

microsoft message analyzerのメリットは、
microsoft message analyzerがインストールされていないWindowsで、標準コマンドnetshを使用しトレースをとったログを解析出来る点です。

 

環境・前提条件

今回は、

  • Windows server 2012 R2
  • Microsoft Message Analyzer 4.0.8112.0

にインストールしてみました。
Windows10でも同様ですね。

 

Microsoft message analyzerのインストール方法

マイクロソフト社のページからダウンロードします。
ただし、現時点で英語版しか提供されていないのが残念な点ですね、、、

1、ダウンロードしたMessageAnalyzerを実行

image

ダウンロードした

  • MessageAnalyzer64.exe

を実行します


2、MessageAnalyzerのセットアップウィザード開始

image

「Next」ボタンを押します。

3、ライセンスに同意する

image

「I accept ・・・」をチェックし、「Next」ボタンを押します。

4、オプション設定

image

オプション設定をデフォルトのYesのまま「Next」ボタンを押します。

5、インストール開始

image

「install」ボタンを押します。
そして、インストールが終わるまでしばらく待ちます。

6、インストール完了

image

 

初めてMicrosoft Message Analyzerを起動すると

image

今回は、自動でアップデートする選択と、フィードバックはしない選択をし「OK」ボタンを押します。

image

以上で、Microsoft Message Analyzerを起動でき、インストール作業完了です。
一応、OSの再起動は促されませんでしたが、Windows7にインストールしたときには緑三角マークのキャプチャボタン「Start Local Trace」が実行できずに、OS再起動後に実行出来るようになりました。

 

netshコマンドでパケットキャプチャする

Microsoft Message Analyzerの、緑三角マークのキャプチャボタン「Start Local Trace」でパケットキャプチャログを取得することも出来るのですが、今回はMicrosoft Message AnalyzerをインストールしたWindowsとは別のマシンで、パケットキャプチャログを取得する前提での方法を紹介します。
そのため、

  • Windows標準コマンドでパケットキャプチャログを取得し
  • Microsoft Message Analyzerインストール済みWindowsでそのログを解析する

といった想定で説明しています。

image

パケットキャプチャ開始コマンド

netsh trace start capture=yes tracefile=<ファイルパス>

ファイルパスにトレースファイル(パケットキャプチャファイル)が出力されます。

パケットキャプチャ停止コマンド

netsh trace stop

トレース(パケットキャプチャ)を停止します。

 

Microsoft Message  Analyzerでパケットキャプチャファイルを開く

image

  1. Microsoft Message  Analyzerを起動する
  2. StartPageの「Open」を選択
  3. netshでtracefileで出力したファイルを選択

image

するとパケットキャプチャが見れます。

image

フィルタを駆使してパケットを検索するのが良いですね。

 

netshで取得したパケットキャプチャとMicrosoft Message Analyzerで取得したパケットキャプチャで表示が異なった!?

image

netshで取得したトレースログでは

  • ソースIPアドレスや
  • 宛先IPアドレスが

表示されなかったですが、Microsoft Message Analyzerで取得したパケットキャプチャログでは表示されました。
何か少し違うようですね。

windows純正パケットキャプチャソフト「Microsoft Message Analyzer」netsh traceからログ解析可能」への2件のフィードバック

  1. 太田幸孝

    MSのサポートから勧められたのですが、メッセージアナライザは、ワイヤーシャークで読める形式でセーブできるので、ワイヤーシャークで見たほうが良いです。と。コンバータに使ってね。ってことです。
    なお、メッセージアナライザ入れておくと、起動しなくても、内部のプロキシが全部のパケットを取り込もうとするのですが、大きいパケットをあきらめちゃうので、予期しないことが起きます。ieが死んだり、突然JAVAスクリプトがソースで見えたり、余ってるPC以外には入れないほうが良いです。

    返信
    1. putise 投稿作成者

      >太田様

      MSから勧められたんですね、ワイヤーシャークで見た方が良いでと、、、
      やはり、パケットキャプチャーではワイヤーシャークの方が優位なんですね。

      >大きいパケットを諦めちゃうので、予期しないことが起きます
      自分のパソコンにはメッセージアナライザをインストールしていないので
      真偽はわかりませんが・・・ちょっとインストールして使ってみようかな。
      (でも、IEが固まったりは常時あるので、真偽を確かめられないkもですが・・・)

      興味深い情報をありがとうございます。

      返信

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です