troushoo

Message Analyzer でのネットワークキャプチャーに、通信しているプロセス名情報を追加する方法

概要

Message Analyzer でのネットワークキャプチャーでは、ネットワーク通信をしているプロセス名はわかりません。
そこで「Windows Kernel Trace」のトレースを追加すると、通信をしているプロセス名もわかるようになります。

内容

Message Analyzer でネットワークキャプチャーを行うと、通信しているプロセス名はわからない
Message Analyzer でネットワークキャプチャーを行うと、以下のようにプロセス名がProcessId と同じ値となり、プロセス名がわかりません。


通信しているプロセス名をわかるようにする方法
「Windows Kernel Trace」を追加すると、プロセス名もわかるようになります。

1. 管理者権限のコマンドプロンプトを起動します。

2. 以下のコマンドを実行し「Windows Kernel Trace」を開始させます。

logman start "NT Kernel Logger" -p "Windows Kernel Trace" "(process,thread,net,file)" -o kernel.etl -ets -ct perf -bs 1024 -nb 20 20
各々意味は以下です。
引数 意味
logman start "任意の名前" トレース名が「”任意の名前”」であるトレースを開始します。
-p "Windows Kernel Trace" "(process,thread,net,file)" 「Windows Kernel Trace」を開始します。
トレースの際、process、thread、net、file のトレース情報を含めます。
-o ファイル名 ファイル名を指定します。
-ets 直接トレースセッションにコマンドを送信します。
-ct perf トレースのクロックタイプを指定します。
-bs <バッファサイズ> バッファサイズをkb で指定します。
-nb <最小値> <最大値 バッファの数を指定します。


3. Message Analyzer を起動し、ネットワークトレースのキャプチャーを開始します。
ここでは「File」→「Favorite Scenarios」→「Loopback and Unencrypted IPSEC」を指定しました。


4. ネットワークトレースをキャプチャーし、キャプチャーが終わったら「Stop」ボタンをクリックします。


5. ネットワークトレースを「File」→「Save」から保存します。



6. 以下のコマンドを実行し「Windows Kernel Trace」を終了させます。すると、kernel.etl が出来上がります。
logman stop "NT Kernel Logger" -ets


7. Message Analyzer の「New Session」→ 「Files」を実行します。



8. 「Add Files」から5 で作成したネットワークトレースと、6 で作成したkernel.etl を開きます。


9. 「Tools」 → 「Windows」 → 「Field Chooser」をクリックします。


10. 「Field Chooser」の「Global Properties」の「ProcessName」を右クリックし「Add As Column」をクリックします。


11. 「ProcessName」の列が追加され、通信を行ったプロセス名がわかります。

注意点
上記方法で表示可能なプロセス名ですが、受信データは不正確な場合があるので注意が必要です。プロセスID を記録するのに使用した「Windows Kernel Trace」の制限です。
ただし、送信データは正確です。


情報元
Process Tracking with Message Analyzer (英語)

関連記事
Message Analyzer を用いてループバックアドレスへの通信をキャプチャー
Message Analyzer 1.2 の新機能Grouping Viewer - 通信をグループ化して表示


  1. 2015/08/09(日) 21:32:10|
  2. ネットワーク
  3. | トラックバック:0
  4. | コメント:0
<<PowerShell Tools for Visual Studio 2015 : Visual Studio でPowerShell の開発・デバッグ | ホーム | PerfTips : デバッグ中にパフォーマンス情報を表示するVisual Studio 2015 の新機能>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://troushoo.blog.fc2.com/tb.php/251-968a8050
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (92)
ネットワーク (76)
Visual Studio (56)
SOS・Psscor2/Psscor4 (25)
WinDbg (25)
Linux (22)
Azure (17)
Tips (20)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する