windows純正パケットキャプチャソフト「Microsoft Message Analyzer」netsh traceからログ解析可能

パケットキャプチャのフリーソフトとしては、ネットワークエンジニアには

  • Wireshark

が超有名ですよね。
しかし、Windowsのマイクロソフト社もフリーでパケットキャプチャ出来てログ解析できるツールを提供しています。

  • Microsoft Network Monitor (~2014年まで)
  • Microsoft message analyzer (2014年~)

ということで、microsoft message analyzerをインストールし、使ってみました。

microsoft message analyzerのメリットは、
microsoft message analyzerがインストールされていないWindowsで、標準コマンドnetshを使用しトレースをとったログを解析出来る点です。

 

環境・前提条件

今回は、

  • Windows server 2012 R2
  • Microsoft Message Analyzer 4.0.8112.0

にインストールしてみました。
Windows10でも同様ですね。

 

Microsoft message analyzerのインストール方法

マイクロソフト社のページからダウンロードします。
ただし、現時点で英語版しか提供されていないのが残念な点ですね、、、

1、ダウンロードしたMessageAnalyzerを実行

image

ダウンロードした

  • MessageAnalyzer64.exe

を実行します


2、MessageAnalyzerのセットアップウィザード開始

image

「Next」ボタンを押します。

3、ライセンスに同意する

image

「I accept ・・・」をチェックし、「Next」ボタンを押します。

4、オプション設定

image

オプション設定をデフォルトのYesのまま「Next」ボタンを押します。

5、インストール開始

image

「install」ボタンを押します。
そして、インストールが終わるまでしばらく待ちます。

6、インストール完了

image

 

初めてMicrosoft Message Analyzerを起動すると

image

今回は、自動でアップデートする選択と、フィードバックはしない選択をし「OK」ボタンを押します。

image

以上で、Microsoft Message Analyzerを起動でき、インストール作業完了です。
一応、OSの再起動は促されませんでしたが、Windows7にインストールしたときには緑三角マークのキャプチャボタン「Start Local Trace」が実行できずに、OS再起動後に実行出来るようになりました。

 

netshコマンドでパケットキャプチャする

Microsoft Message Analyzerの、緑三角マークのキャプチャボタン「Start Local Trace」でパケットキャプチャログを取得することも出来るのですが、今回はMicrosoft Message AnalyzerをインストールしたWindowsとは別のマシンで、パケットキャプチャログを取得する前提での方法を紹介します。
そのため、

  • Windows標準コマンドでパケットキャプチャログを取得し
  • Microsoft Message Analyzerインストール済みWindowsでそのログを解析する

といった想定で説明しています。

image

パケットキャプチャ開始コマンド

netsh trace start capture=yes tracefile=<ファイルパス>

ファイルパスにトレースファイル(パケットキャプチャファイル)が出力されます。

パケットキャプチャ停止コマンド

netsh trace stop

トレース(パケットキャプチャ)を停止します。

 

Microsoft Message  Analyzerでパケットキャプチャファイルを開く

image

  1. Microsoft Message  Analyzerを起動する
  2. StartPageの「Open」を選択
  3. netshでtracefileで出力したファイルを選択

image

するとパケットキャプチャが見れます。

image

フィルタを駆使してパケットを検索するのが良いですね。

 

netshで取得したパケットキャプチャとMicrosoft Message Analyzerで取得したパケットキャプチャで表示が異なった!?

image

netshで取得したトレースログでは

  • ソースIPアドレスや
  • 宛先IPアドレスが

表示されなかったですが、Microsoft Message Analyzerで取得したパケットキャプチャログでは表示されました。
何か少し違うようですね。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です