SlideShare uma empresa Scribd logo

Message Analyzer 再入門【1】

Transferir como PPTX, PDF
彰 村地
彰 村地

2015/9/28 開催・第32回「ネットワーク パケットを読む会(仮)」での発表スライド。Microsoft Message Analyzer についての解説シリーズ第1回です。 Microsoft のネットワーク パケット キャプチャ ツールの歴史、Message Analyzer の動作原理、ETW の動作原理について解説しています。

Tecnologia
1 de 22
Message Analyzer 再入門 【1】 Murachi Akira aka hebikuzure This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
About me  村地 彰 aka hebikuzure  http://www.murachi.net/  http://www.hebikuzure.com/  https://hebikuzure.wordpress.com/  Microsoft MVP(Internet Explorer)Apr. 2011 ~ 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #322
Microsoft のパケットキャプチャ ツール 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #323  Network Monitor 2.x  MicrosoftSystems ManagementServer (SMS) に付属していた ツール  機能限定版が無償提供されていた  Windows Vista 以降では利用できない  Network Monitor 3.x  Windows Vista 以降で利用可能 (Windows 10 は NG?)  フル機能版が無償提供された  Microsoft Message Analyzer  Network Monitor の後継  「パケット キャプチャ ツール」ではない  ETW ログ解析ツール
Microsoft Message Analyzer の入手と情報 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #324  ダウンロード ページ http://www.microsoft.com/en- us/download/details.aspx?id=44226  最新版は ver. 1.3.1 (2015/7/30 リリース)  Message Analyzer Blog http://blogs.technet.com/b/messageanalyzer/  サポート フォーラム https://social.msdn.microsoft.com/Forums/windowsdes ktop/ en-us/home?forum=messageanalyzer
ETW = Event Tracing for Windows 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #325  Windows のコンポーネントに対してトレース ログを出力 させる仕組み  Window のコンポーネント以外のカーネルモード/ユー ザーモード ドライバー、ユーザーモード アプリケーション でも実装可能  Checked Build によるデバッグ プリントより高速でモ ジュール本来の動作に与える影響が少ない  動的な有効化/無効化が可能  出力されるログはバイナリ データ  表示/解析にはツールが必要
ETW の仕組み 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #326 http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/27/event-tracing-for-windows-etw.aspx より
ETW の仕組み 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #327 トレース採取対象の ドライバー アプリケーション トレース有効化/無効化
ETW の仕組み 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #328 トレース データの配信 セッションの作成/管理
ETW の仕組み 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #329 トレースの配信
ETW の仕組み 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3210 Message Analyzer
ETW で「ネットワーク トレース」 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3211  プロバイダ「Microsoft-Windows-NDIS- PacketCapture」のトレースを採取する  Windows 8 以降から利用可能なプロバイダ  Network Monitor と同等のパケット キャプチャが可能
NDIS 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3212  Network Driver Interface Specification  %SystemRoot%System32DriversNdis.sys http://blogs.msdn.com/b/jpwdkblog/archive/2010/08/31/windows-network-driver.aspx
NDIS-PacketCapture プロバイダの問題 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3213  Windows 7 以前では利用できない  プロバイダを有効にするために管理者権限が必要 ※ Message Analyzer から利用する場合、Message Analyzer を「管理者として実行」する必要がある
Message Analyzer でパケット キャプチャ 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3214 1. Message Analyzer を起動 2. [Start Local Trace] をクリック または 1. Message Analyzer を起動 2. [New Session] をクリック 3. [Live Trace] をクリック 4. [Trace Scenario] で [Local Network Interface] を選 択 5. [Start] をクリック
パケット キャプチャの開始 – 方法1 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3215
パケット キャプチャの開始 – 方法2 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3216 – 方法1
パケット キャプチャの開始 – 方法2 (2) 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3217 – 方法1
パケット キャプチャの開始 – 方法2 (3) 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3218 – 方法1
パケット キャプチャの停止 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3219  ツールバーの [Stop] ボタン  [Session] メニュー – [Stop]
データの保存 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3220  ツールバーの [Save] ボタン  [File] メニュー – [Save]  [Save as] で cap 形式 (Microsoft Network Monitor 形式) で 保存できる ⇒ Wireshark で開けます
他のコントローラを使う 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3221  Message Analyzer 以外の ETW コントローラ  logman コマンド  パフォーマンス モニタ (perfmon.exe) – [データ コレクター セット] – [イベント トレース セッション]  いずれも「管理者として実行」が必要
参考資料 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3222  ETW へのご招待 http://blogs.msdn.com/b/tsmatsuz/archive/2008/01/2 3/etw.aspx  Event Tracing for Windows (ETW) http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/ 27/event-tracing-for-windows-etw.aspx  FAQ: Common Questions for ETW and Windows Event Log https://social.msdn.microsoft.com/Forums/ja-JP/a1aa1350- 41a0-4490-9ae3-9b4520aeb9d4/faq-common-questions- for-etw-and-windows-event-log  Event Tracing for Windows (ETW) Simplified https://support.microsoft.com/en-us/kb/2593157

Recomendados

Microsoft Message Analyzer の紹介
Microsoft Message Analyzer の紹介Microsoft Message Analyzer の紹介
Microsoft Message Analyzer の紹介
彰 村地
 
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
Tetsuya Yokoyama
 
Win10Pcap を使って見る
Win10Pcap を使って見るWin10Pcap を使って見る
Win10Pcap を使って見る
彰 村地
 
Message Analyzer 再入門【2】
Message Analyzer 再入門【2】Message Analyzer 再入門【2】
Message Analyzer 再入門【2】
彰 村地
 
Message Analyzer でパケット キャプチャー
Message Analyzer でパケット キャプチャーMessage Analyzer でパケット キャプチャー
Message Analyzer でパケット キャプチャー
彰 村地
 
Com camp2014
Com camp2014Com camp2014
Com camp2014
彰 村地
 
Rmote Packet Capture Protocol を使って見る
Rmote Packet Capture Protocol を使って見るRmote Packet Capture Protocol を使って見る
Rmote Packet Capture Protocol を使って見る
彰 村地
 
Windows の標準コマンドでパケット キャプチャ
Windows の標準コマンドでパケット キャプチャWindows の標準コマンドでパケット キャプチャ
Windows の標準コマンドでパケット キャプチャ
彰 村地
 

Recomendados

Microsoft Message Analyzer の紹介
Microsoft Message Analyzer の紹介Microsoft Message Analyzer の紹介
Microsoft Message Analyzer の紹介
彰 村地
 
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
Tetsuya Yokoyama
 
Win10Pcap を使って見る
Win10Pcap を使って見るWin10Pcap を使って見る
Win10Pcap を使って見る
彰 村地
 
Message Analyzer 再入門【2】
Message Analyzer 再入門【2】Message Analyzer 再入門【2】
Message Analyzer 再入門【2】
彰 村地
 
Message Analyzer でパケット キャプチャー
Message Analyzer でパケット キャプチャーMessage Analyzer でパケット キャプチャー
Message Analyzer でパケット キャプチャー
彰 村地
 
Com camp2014
Com camp2014Com camp2014
Com camp2014
彰 村地
 
Rmote Packet Capture Protocol を使って見る
Rmote Packet Capture Protocol を使って見るRmote Packet Capture Protocol を使って見る
Rmote Packet Capture Protocol を使って見る
彰 村地
 
Windows の標準コマンドでパケット キャプチャ
Windows の標準コマンドでパケット キャプチャWindows の標準コマンドでパケット キャプチャ
Windows の標準コマンドでパケット キャプチャ
彰 村地
 
Excel でパケット分析 - グラフ化
Excel でパケット分析 - グラフ化Excel でパケット分析 - グラフ化
Excel でパケット分析 - グラフ化
彰 村地
 
Wireshark入門(4)
Wireshark入門(4)Wireshark入門(4)
Wireshark入門(4)
彰 村地
 
Wireshark入門(2)
Wireshark入門(2)Wireshark入門(2)
Wireshark入門(2)
彰 村地
 
Wireshark入門 (2014版)
Wireshark入門 (2014版)Wireshark入門 (2014版)
Wireshark入門 (2014版)
彰 村地
 
Browser andsecurity2015
Browser andsecurity2015Browser andsecurity2015
Browser andsecurity2015
彰 村地
 
Wireshark入門(3)
Wireshark入門(3)Wireshark入門(3)
Wireshark入門(3)
彰 村地
 
Wireshark入門
Wireshark入門Wireshark入門
Wireshark入門
彰 村地
 
実際に流れているデータを見てみよう
実際に流れているデータを見てみよう実際に流れているデータを見てみよう
実際に流れているデータを見てみよう
彰 村地
 
Pakeana 06
Pakeana 06Pakeana 06
Pakeana 06
彰 村地
 
Windows 8 でパケットキャプチャ
Windows 8 でパケットキャプチャWindows 8 でパケットキャプチャ
Windows 8 でパケットキャプチャ
彰 村地
 
ネクスト・ジェネレーションクラウドネットワーク~雲の中のリストラクチャリング~
ネクスト・ジェネレーションクラウドネットワーク~雲の中のリストラクチャリング~ネクスト・ジェネレーションクラウドネットワーク~雲の中のリストラクチャリング~
ネクスト・ジェネレーションクラウドネットワーク~雲の中のリストラクチャリング~
Sunao Tomita
 
Node最新トピックス
Node最新トピックスNode最新トピックス
Node最新トピックス
shigeki_ohtsu
 
クラウド時代のスケールアウト型テレメトリングシステムの考察
クラウド時代のスケールアウト型テレメトリングシステムの考察クラウド時代のスケールアウト型テレメトリングシステムの考察
クラウド時代のスケールアウト型テレメトリングシステムの考察
Naoto MATSUMOTO
 
Contiv on vagrant_20160224
Contiv on vagrant_20160224Contiv on vagrant_20160224
Contiv on vagrant_20160224
Takao Setaka
 
パブリッククラウドConoHaを使ってOpenStack APIを理解する
パブリッククラウドConoHaを使ってOpenStack APIを理解するパブリッククラウドConoHaを使ってOpenStack APIを理解する
パブリッククラウドConoHaを使ってOpenStack APIを理解する
Hironobu Saitoh
 
MistCDNの概要 / Technical Session - WebRTC Meetup Tokyo #9
MistCDNの概要 / Technical Session - WebRTC Meetup Tokyo #9MistCDNの概要 / Technical Session - WebRTC Meetup Tokyo #9
MistCDNの概要 / Technical Session - WebRTC Meetup Tokyo #9
Shintaro Tanaka
 
Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)
Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)
Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)
Panda Yamaki
 
【さくらインターネット】簡単解説 SSLサーバ証明書とは?
【さくらインターネット】簡単解説 SSLサーバ証明書とは?【さくらインターネット】簡単解説 SSLサーバ証明書とは?
【さくらインターネット】簡単解説 SSLサーバ証明書とは?
さくらインターネット株式会社
 
Wireguard 実践入門
Wireguard 実践入門Wireguard 実践入門
Wireguard 実践入門
Kazuhiro Nishiyama
 
Nginx バージョンアップ動向(2015/07〜2015/12)
Nginx バージョンアップ動向(2015/07〜2015/12)Nginx バージョンアップ動向(2015/07〜2015/12)
Nginx バージョンアップ動向(2015/07〜2015/12)
Narimichi Takamura
 
Microsoft Tunnel 概要
Microsoft Tunnel 概要Microsoft Tunnel 概要
Microsoft Tunnel 概要
Yutaro Tamai
 
マルウェア通信検知手法におけるUser-Agentの有効性の一考察
マルウェア通信検知手法におけるUser-Agentの有効性の一考察マルウェア通信検知手法におけるUser-Agentの有効性の一考察
マルウェア通信検知手法におけるUser-Agentの有効性の一考察
Recruit Technologies
 

Mais conteúdo relacionado

Mais procurados

Excel でパケット分析 - グラフ化
Excel でパケット分析 - グラフ化Excel でパケット分析 - グラフ化
Excel でパケット分析 - グラフ化
彰 村地
 
Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)
Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)
Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)
Panda Yamaki
 

Mais procurados (20)

Excel でパケット分析 - グラフ化
Excel でパケット分析 - グラフ化Excel でパケット分析 - グラフ化
Excel でパケット分析 - グラフ化
 
Wireshark入門(4)
Wireshark入門(4)Wireshark入門(4)
Wireshark入門(4)
 
Wireshark入門(2)
Wireshark入門(2)Wireshark入門(2)
Wireshark入門(2)
 
Wireshark入門 (2014版)
Wireshark入門 (2014版)Wireshark入門 (2014版)
Wireshark入門 (2014版)
 
Browser andsecurity2015
Browser andsecurity2015Browser andsecurity2015
Browser andsecurity2015
 
Wireshark入門(3)
Wireshark入門(3)Wireshark入門(3)
Wireshark入門(3)
 
Wireshark入門
Wireshark入門Wireshark入門
Wireshark入門
 
実際に流れているデータを見てみよう
実際に流れているデータを見てみよう実際に流れているデータを見てみよう
実際に流れているデータを見てみよう
 
Pakeana 06
Pakeana 06Pakeana 06
Pakeana 06
 
Windows 8 でパケットキャプチャ
Windows 8 でパケットキャプチャWindows 8 でパケットキャプチャ
Windows 8 でパケットキャプチャ
 
ネクスト・ジェネレーションクラウドネットワーク~雲の中のリストラクチャリング~
ネクスト・ジェネレーションクラウドネットワーク~雲の中のリストラクチャリング~ネクスト・ジェネレーションクラウドネットワーク~雲の中のリストラクチャリング~
ネクスト・ジェネレーションクラウドネットワーク~雲の中のリストラクチャリング~
 
Node最新トピックス
Node最新トピックスNode最新トピックス
Node最新トピックス
 
クラウド時代のスケールアウト型テレメトリングシステムの考察
クラウド時代のスケールアウト型テレメトリングシステムの考察クラウド時代のスケールアウト型テレメトリングシステムの考察
クラウド時代のスケールアウト型テレメトリングシステムの考察
 
Contiv on vagrant_20160224
Contiv on vagrant_20160224Contiv on vagrant_20160224
Contiv on vagrant_20160224
 
パブリッククラウドConoHaを使ってOpenStack APIを理解する
パブリッククラウドConoHaを使ってOpenStack APIを理解するパブリッククラウドConoHaを使ってOpenStack APIを理解する
パブリッククラウドConoHaを使ってOpenStack APIを理解する
 
MistCDNの概要 / Technical Session - WebRTC Meetup Tokyo #9
MistCDNの概要 / Technical Session - WebRTC Meetup Tokyo #9MistCDNの概要 / Technical Session - WebRTC Meetup Tokyo #9
MistCDNの概要 / Technical Session - WebRTC Meetup Tokyo #9
 
Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)
Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)
Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)
 
【さくらインターネット】簡単解説 SSLサーバ証明書とは?
【さくらインターネット】簡単解説 SSLサーバ証明書とは?【さくらインターネット】簡単解説 SSLサーバ証明書とは?
【さくらインターネット】簡単解説 SSLサーバ証明書とは?
 
Wireguard 実践入門
Wireguard 実践入門Wireguard 実践入門
Wireguard 実践入門
 
Nginx バージョンアップ動向(2015/07〜2015/12)
Nginx バージョンアップ動向(2015/07〜2015/12)Nginx バージョンアップ動向(2015/07〜2015/12)
Nginx バージョンアップ動向(2015/07〜2015/12)
 

Semelhante a Message Analyzer 再入門【1】

Mathworks installation help_ja_jp
Mathworks installation help_ja_jpMathworks installation help_ja_jp
Mathworks installation help_ja_jp
Eddie Muñoz
 
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
グローバルセキュリティエキスパート株式会社(GSX)
 
App controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウドApp controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウド
Takashi Kanai
 

Semelhante a Message Analyzer 再入門【1】 (20)

Microsoft Tunnel 概要
Microsoft Tunnel 概要Microsoft Tunnel 概要
Microsoft Tunnel 概要
 
マルウェア通信検知手法におけるUser-Agentの有効性の一考察
マルウェア通信検知手法におけるUser-Agentの有効性の一考察マルウェア通信検知手法におけるUser-Agentの有効性の一考察
マルウェア通信検知手法におけるUser-Agentの有効性の一考察
 
Rancher2.3とwindows Containerで作るkubernetesクラスタ
Rancher2.3とwindows Containerで作るkubernetesクラスタRancher2.3とwindows Containerで作るkubernetesクラスタ
Rancher2.3とwindows Containerで作るkubernetesクラスタ
 
IoT Agents をデバッグする方法 - FIWARE WednesdayWebinars
IoT Agents をデバッグする方法 - FIWARE WednesdayWebinarsIoT Agents をデバッグする方法 - FIWARE WednesdayWebinars
IoT Agents をデバッグする方法 - FIWARE WednesdayWebinars
 
2015 0227 OSC-Spring Tokyo NETMF
2015 0227 OSC-Spring Tokyo NETMF2015 0227 OSC-Spring Tokyo NETMF
2015 0227 OSC-Spring Tokyo NETMF
 
Mathworks installation help_ja_jp
Mathworks installation help_ja_jpMathworks installation help_ja_jp
Mathworks installation help_ja_jp
 
Mathworks installation help_ja_jp
Mathworks installation help_ja_jpMathworks installation help_ja_jp
Mathworks installation help_ja_jp
 
SNMPセキュリティ超入門
SNMPセキュリティ超入門SNMPセキュリティ超入門
SNMPセキュリティ超入門
 
System Center Operations Managerによる仮想環境の高度な管理
System Center Operations Managerによる仮想環境の高度な管理System Center Operations Managerによる仮想環境の高度な管理
System Center Operations Managerによる仮想環境の高度な管理
 
Interactive connection2
Interactive connection2Interactive connection2
Interactive connection2
 
IBM Rational Team Concertに触れてみた
IBM Rational Team Concertに触れてみたIBM Rational Team Concertに触れてみた
IBM Rational Team Concertに触れてみた
 
Interop2016-openstack-user-group-mizuno
Interop2016-openstack-user-group-mizunoInterop2016-openstack-user-group-mizuno
Interop2016-openstack-user-group-mizuno
 
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
 
Mercurial入門
Mercurial入門Mercurial入門
Mercurial入門
 
Whats new in_a360-19-20_jp
Whats new in_a360-19-20_jpWhats new in_a360-19-20_jp
Whats new in_a360-19-20_jp
 
Cloud OS Tech Day 2014:Windows Azure Pack プライベートクラウドとセルフポータル(仮)
Cloud OS Tech Day 2014:Windows Azure Pack プライベートクラウドとセルフポータル(仮)Cloud OS Tech Day 2014:Windows Azure Pack プライベートクラウドとセルフポータル(仮)
Cloud OS Tech Day 2014:Windows Azure Pack プライベートクラウドとセルフポータル(仮)
 
Whats service mesh & istio ?
Whats service mesh & istio ?Whats service mesh & istio ?
Whats service mesh & istio ?
 
App controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウドApp controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウド
 
OpenStack批評 2015
OpenStack批評 2015OpenStack批評 2015
OpenStack批評 2015
 
openstack_neutron-ovs_osc2014tf_20141019
openstack_neutron-ovs_osc2014tf_20141019openstack_neutron-ovs_osc2014tf_20141019
openstack_neutron-ovs_osc2014tf_20141019
 

Mais de 彰 村地

Mais de 彰 村地 (20)

Process Monitor の使い方
Process Monitor の使い方Process Monitor の使い方
Process Monitor の使い方
 
Windows クライアントのトラブルシューティングあれこれ
Windows クライアントのトラブルシューティングあれこれWindows クライアントのトラブルシューティングあれこれ
Windows クライアントのトラブルシューティングあれこれ
 
Windows 365 のテクノロジーとインフラストラクチャー
Windows 365 のテクノロジーとインフラストラクチャーWindows 365 のテクノロジーとインフラストラクチャー
Windows 365 のテクノロジーとインフラストラクチャー
 
Windows 11 がやってくる - IT管理者の準備と対策
Windows 11 がやってくる - IT管理者の準備と対策Windows 11 がやってくる - IT管理者の準備と対策
Windows 11 がやってくる - IT管理者の準備と対策
 
Internet Explorer サポート提供終了で変わること変わらないこと
Internet Explorer サポート提供終了で変わること変わらないことInternet Explorer サポート提供終了で変わること変わらないこと
Internet Explorer サポート提供終了で変わること変わらないこと
 
How tousemicrosoftsearch 20200725
How tousemicrosoftsearch 20200725How tousemicrosoftsearch 20200725
How tousemicrosoftsearch 20200725
 
(管理者向け) Microsoft Edge の展開と管理の手法
(管理者向け) Microsoft Edge の展開と管理の手法(管理者向け) Microsoft Edge の展開と管理の手法
(管理者向け) Microsoft Edge の展開と管理の手法
 
見せてもらおうか、新しい Microsoft Edge の性能とやらを
見せてもらおうか、新しい Microsoft Edge の性能とやらを見せてもらおうか、新しい Microsoft Edge の性能とやらを
見せてもらおうか、新しい Microsoft Edge の性能とやらを
 
(Web に関わる人に知っておいてほしい)Web ブラウザー 最新事情
(Web に関わる人に知っておいてほしい)Web ブラウザー 最新事情(Web に関わる人に知っておいてほしい)Web ブラウザー 最新事情
(Web に関わる人に知っておいてほしい)Web ブラウザー 最新事情
 
Java で開発する Azure Web Apps アプリケーション
Java で開発する Azure Web Apps アプリケーションJava で開発する Azure Web Apps アプリケーション
Java で開発する Azure Web Apps アプリケーション
 
O365 ユーザーのための Azure Storage 入門
O365 ユーザーのための Azure Storage 入門O365 ユーザーのための Azure Storage 入門
O365 ユーザーのための Azure Storage 入門
 
Web standard 2019_0216
Web standard 2019_0216Web standard 2019_0216
Web standard 2019_0216
 
アドレスバーにURL打ち込んでからページが表示されるまでに 何が起こっているか
アドレスバーにURL打ち込んでからページが表示されるまでに 何が起こっているかアドレスバーにURL打ち込んでからページが表示されるまでに 何が起こっているか
アドレスバーにURL打ち込んでからページが表示されるまでに 何が起こっているか
 
Azure Network Watcher / Azure仮想ネットワークの監視と情報収集
Azure Network Watcher / Azure仮想ネットワークの監視と情報収集Azure Network Watcher / Azure仮想ネットワークの監視と情報収集
Azure Network Watcher / Azure仮想ネットワークの監視と情報収集
 
System Resource Utilization Monitor を知ろう
System Resource Utilization Monitor を知ろうSystem Resource Utilization Monitor を知ろう
System Resource Utilization Monitor を知ろう
 
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティHTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
 
HTML はネットワークを いかに変えてきたか
HTML はネットワークを いかに変えてきたかHTML はネットワークを いかに変えてきたか
HTML はネットワークを いかに変えてきたか
 
EcmaScript 仕様書を読もう
EcmaScript 仕様書を読もうEcmaScript 仕様書を読もう
EcmaScript 仕様書を読もう
 
目視パケット解析入門
目視パケット解析入門目視パケット解析入門
目視パケット解析入門
 
About Project Spartan
About Project SpartanAbout Project Spartan
About Project Spartan
 

Message Analyzer 再入門【1】

  • 1. Message Analyzer 再入門 【1】 Murachi Akira aka hebikuzure This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
  • 2. About me  村地 彰 aka hebikuzure  http://www.murachi.net/  http://www.hebikuzure.com/  https://hebikuzure.wordpress.com/  Microsoft MVP(Internet Explorer)Apr. 2011 ~ 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #322
  • 3. Microsoft のパケットキャプチャ ツール 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #323  Network Monitor 2.x  MicrosoftSystems ManagementServer (SMS) に付属していた ツール  機能限定版が無償提供されていた  Windows Vista 以降では利用できない  Network Monitor 3.x  Windows Vista 以降で利用可能 (Windows 10 は NG?)  フル機能版が無償提供された  Microsoft Message Analyzer  Network Monitor の後継  「パケット キャプチャ ツール」ではない  ETW ログ解析ツール
  • 4. Microsoft Message Analyzer の入手と情報 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #324  ダウンロード ページ http://www.microsoft.com/en- us/download/details.aspx?id=44226  最新版は ver. 1.3.1 (2015/7/30 リリース)  Message Analyzer Blog http://blogs.technet.com/b/messageanalyzer/  サポート フォーラム https://social.msdn.microsoft.com/Forums/windowsdes ktop/ en-us/home?forum=messageanalyzer
  • 5. ETW = Event Tracing for Windows 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #325  Windows のコンポーネントに対してトレース ログを出力 させる仕組み  Window のコンポーネント以外のカーネルモード/ユー ザーモード ドライバー、ユーザーモード アプリケーション でも実装可能  Checked Build によるデバッグ プリントより高速でモ ジュール本来の動作に与える影響が少ない  動的な有効化/無効化が可能  出力されるログはバイナリ データ  表示/解析にはツールが必要
  • 6. ETW の仕組み 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #326 http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/27/event-tracing-for-windows-etw.aspx より
  • 7. ETW の仕組み 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #327 トレース採取対象の ドライバー アプリケーション トレース有効化/無効化
  • 8. ETW の仕組み 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #328 トレース データの配信 セッションの作成/管理
  • 9. ETW の仕組み 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #329 トレースの配信
  • 10. ETW の仕組み 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3210 Message Analyzer
  • 11. ETW で「ネットワーク トレース」 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3211  プロバイダ「Microsoft-Windows-NDIS- PacketCapture」のトレースを採取する  Windows 8 以降から利用可能なプロバイダ  Network Monitor と同等のパケット キャプチャが可能
  • 12. NDIS 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3212  Network Driver Interface Specification  %SystemRoot%System32DriversNdis.sys http://blogs.msdn.com/b/jpwdkblog/archive/2010/08/31/windows-network-driver.aspx
  • 13. NDIS-PacketCapture プロバイダの問題 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3213  Windows 7 以前では利用できない  プロバイダを有効にするために管理者権限が必要 ※ Message Analyzer から利用する場合、Message Analyzer を「管理者として実行」する必要がある
  • 14. Message Analyzer でパケット キャプチャ 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3214 1. Message Analyzer を起動 2. [Start Local Trace] をクリック または 1. Message Analyzer を起動 2. [New Session] をクリック 3. [Live Trace] をクリック 4. [Trace Scenario] で [Local Network Interface] を選 択 5. [Start] をクリック
  • 15. パケット キャプチャの開始 – 方法1 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3215
  • 16. パケット キャプチャの開始 – 方法2 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3216 – 方法1
  • 17. パケット キャプチャの開始 – 方法2 (2) 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3217 – 方法1
  • 18. パケット キャプチャの開始 – 方法2 (3) 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3218 – 方法1
  • 19. パケット キャプチャの停止 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3219  ツールバーの [Stop] ボタン  [Session] メニュー – [Stop]
  • 20. データの保存 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3220  ツールバーの [Save] ボタン  [File] メニュー – [Save]  [Save as] で cap 形式 (Microsoft Network Monitor 形式) で 保存できる ⇒ Wireshark で開けます
  • 21. 他のコントローラを使う 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3221  Message Analyzer 以外の ETW コントローラ  logman コマンド  パフォーマンス モニタ (perfmon.exe) – [データ コレクター セット] – [イベント トレース セッション]  いずれも「管理者として実行」が必要
  • 22. 参考資料 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3222  ETW へのご招待 http://blogs.msdn.com/b/tsmatsuz/archive/2008/01/2 3/etw.aspx  Event Tracing for Windows (ETW) http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/ 27/event-tracing-for-windows-etw.aspx  FAQ: Common Questions for ETW and Windows Event Log https://social.msdn.microsoft.com/Forums/ja-JP/a1aa1350- 41a0-4490-9ae3-9b4520aeb9d4/faq-common-questions- for-etw-and-windows-event-log  Event Tracing for Windows (ETW) Simplified https://support.microsoft.com/en-us/kb/2593157