SlideShare a Scribd company logo
Message Analyzer 再入門 【1】
Murachi Akira aka hebikuzure
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International
License.
About me
 村地 彰 aka hebikuzure
 http://www.murachi.net/
 http://www.hebikuzure.com/
 https://hebikuzure.wordpress.com/
 Microsoft MVP(Internet Explorer)Apr. 2011 ~
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #322
Microsoft のパケットキャプチャ ツール
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #323
 Network Monitor 2.x
 MicrosoftSystems ManagementServer (SMS) に付属していた
ツール
 機能限定版が無償提供されていた
 Windows Vista 以降では利用できない
 Network Monitor 3.x
 Windows Vista 以降で利用可能 (Windows 10 は NG?)
 フル機能版が無償提供された
 Microsoft Message Analyzer
 Network Monitor の後継
 「パケット キャプチャ ツール」ではない
 ETW ログ解析ツール
Microsoft Message Analyzer の入手と情報
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #324
 ダウンロード ページ
http://www.microsoft.com/en-
us/download/details.aspx?id=44226
 最新版は ver. 1.3.1 (2015/7/30 リリース)
 Message Analyzer Blog
http://blogs.technet.com/b/messageanalyzer/
 サポート フォーラム
https://social.msdn.microsoft.com/Forums/windowsdes
ktop/
en-us/home?forum=messageanalyzer
ETW = Event Tracing for Windows
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #325
 Windows のコンポーネントに対してトレース ログを出力
させる仕組み
 Window のコンポーネント以外のカーネルモード/ユー
ザーモード ドライバー、ユーザーモード アプリケーション
でも実装可能
 Checked Build によるデバッグ プリントより高速でモ
ジュール本来の動作に与える影響が少ない
 動的な有効化/無効化が可能
 出力されるログはバイナリ データ
 表示/解析にはツールが必要
ETW の仕組み
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #326
http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/27/event-tracing-for-windows-etw.aspx より
ETW の仕組み
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #327
トレース採取対象の
ドライバー
アプリケーション
トレース有効化/無効化
ETW の仕組み
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #328
トレース データの配信
セッションの作成/管理
ETW の仕組み
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #329
トレースの配信
ETW の仕組み
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3210
Message Analyzer
ETW で「ネットワーク トレース」
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3211
 プロバイダ「Microsoft-Windows-NDIS-
PacketCapture」のトレースを採取する
 Windows 8 以降から利用可能なプロバイダ
 Network Monitor と同等のパケット キャプチャが可能
NDIS
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3212
 Network Driver Interface Specification
 %SystemRoot%System32DriversNdis.sys
http://blogs.msdn.com/b/jpwdkblog/archive/2010/08/31/windows-network-driver.aspx
NDIS-PacketCapture プロバイダの問題
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3213
 Windows 7 以前では利用できない
 プロバイダを有効にするために管理者権限が必要
※ Message Analyzer から利用する場合、Message
Analyzer を「管理者として実行」する必要がある
Message Analyzer でパケット キャプチャ
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3214
1. Message Analyzer を起動
2. [Start Local Trace] をクリック
または
1. Message Analyzer を起動
2. [New Session] をクリック
3. [Live Trace] をクリック
4. [Trace Scenario] で [Local Network Interface] を選
択
5. [Start] をクリック
パケット キャプチャの開始 – 方法1
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3215
パケット キャプチャの開始 – 方法2
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3216
– 方法1
パケット キャプチャの開始 – 方法2 (2)
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3217
– 方法1
パケット キャプチャの開始 – 方法2 (3)
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3218
– 方法1
パケット キャプチャの停止
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3219
 ツールバーの [Stop] ボタン
 [Session] メニュー – [Stop]
データの保存
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3220
 ツールバーの [Save] ボタン
 [File] メニュー – [Save]
 [Save as] で cap 形式 (Microsoft Network Monitor 形式) で
保存できる ⇒ Wireshark で開けます
他のコントローラを使う
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3221
 Message Analyzer 以外の ETW コントローラ
 logman コマンド
 パフォーマンス モニタ (perfmon.exe)
– [データ コレクター セット]
– [イベント トレース セッション]
 いずれも「管理者として実行」が必要
参考資料
2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3222
 ETW へのご招待
http://blogs.msdn.com/b/tsmatsuz/archive/2008/01/2
3/etw.aspx
 Event Tracing for Windows (ETW)
http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/
27/event-tracing-for-windows-etw.aspx
 FAQ: Common Questions for ETW and Windows Event Log
https://social.msdn.microsoft.com/Forums/ja-JP/a1aa1350-
41a0-4490-9ae3-9b4520aeb9d4/faq-common-questions-
for-etw-and-windows-event-log
 Event Tracing for Windows (ETW) Simplified
https://support.microsoft.com/en-us/kb/2593157

More Related Content

What's hot

Excel でパケット分析 - グラフ化
Excel でパケット分析 - グラフ化Excel でパケット分析 - グラフ化
Excel でパケット分析 - グラフ化彰 村地
 
Wireshark入門(4)
Wireshark入門(4)Wireshark入門(4)
Wireshark入門(4)彰 村地
 
Wireshark入門(2)
Wireshark入門(2)Wireshark入門(2)
Wireshark入門(2)彰 村地
 
Wireshark入門 (2014版)
Wireshark入門 (2014版)Wireshark入門 (2014版)
Wireshark入門 (2014版)彰 村地
 
Browser andsecurity2015
Browser andsecurity2015Browser andsecurity2015
Browser andsecurity2015彰 村地
 
Wireshark入門(3)
Wireshark入門(3)Wireshark入門(3)
Wireshark入門(3)彰 村地
 
Wireshark入門
Wireshark入門Wireshark入門
Wireshark入門彰 村地
 
実際に流れているデータを見てみよう
実際に流れているデータを見てみよう実際に流れているデータを見てみよう
実際に流れているデータを見てみよう彰 村地
 
Windows 8 でパケットキャプチャ
Windows 8 でパケットキャプチャWindows 8 でパケットキャプチャ
Windows 8 でパケットキャプチャ彰 村地
 
ネクスト・ジェネレーションクラウドネットワーク~雲の中のリストラクチャリング~
ネクスト・ジェネレーションクラウドネットワーク~雲の中のリストラクチャリング~ネクスト・ジェネレーションクラウドネットワーク~雲の中のリストラクチャリング~
ネクスト・ジェネレーションクラウドネットワーク~雲の中のリストラクチャリング~Sunao Tomita
 
Node最新トピックス
Node最新トピックスNode最新トピックス
Node最新トピックスshigeki_ohtsu
 
クラウド時代のスケールアウト型テレメトリングシステムの考察
クラウド時代のスケールアウト型テレメトリングシステムの考察クラウド時代のスケールアウト型テレメトリングシステムの考察
クラウド時代のスケールアウト型テレメトリングシステムの考察Naoto MATSUMOTO
 
Contiv on vagrant_20160224
Contiv on vagrant_20160224Contiv on vagrant_20160224
Contiv on vagrant_20160224Takao Setaka
 
パブリッククラウドConoHaを使ってOpenStack APIを理解する
パブリッククラウドConoHaを使ってOpenStack APIを理解するパブリッククラウドConoHaを使ってOpenStack APIを理解する
パブリッククラウドConoHaを使ってOpenStack APIを理解するHironobu Saitoh
 
MistCDNの概要 / Technical Session - WebRTC Meetup Tokyo #9
MistCDNの概要 / Technical Session - WebRTC Meetup Tokyo #9MistCDNの概要 / Technical Session - WebRTC Meetup Tokyo #9
MistCDNの概要 / Technical Session - WebRTC Meetup Tokyo #9Shintaro Tanaka
 
Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)
Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)
Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)Panda Yamaki
 
【さくらインターネット】簡単解説 SSLサーバ証明書とは?
【さくらインターネット】簡単解説 SSLサーバ証明書とは?【さくらインターネット】簡単解説 SSLサーバ証明書とは?
【さくらインターネット】簡単解説 SSLサーバ証明書とは?さくらインターネット株式会社
 
Nginx バージョンアップ動向(2015/07〜2015/12)
Nginx バージョンアップ動向(2015/07〜2015/12)Nginx バージョンアップ動向(2015/07〜2015/12)
Nginx バージョンアップ動向(2015/07〜2015/12)Narimichi Takamura
 

What's hot (20)

Excel でパケット分析 - グラフ化
Excel でパケット分析 - グラフ化Excel でパケット分析 - グラフ化
Excel でパケット分析 - グラフ化
 
Wireshark入門(4)
Wireshark入門(4)Wireshark入門(4)
Wireshark入門(4)
 
Wireshark入門(2)
Wireshark入門(2)Wireshark入門(2)
Wireshark入門(2)
 
Wireshark入門 (2014版)
Wireshark入門 (2014版)Wireshark入門 (2014版)
Wireshark入門 (2014版)
 
Browser andsecurity2015
Browser andsecurity2015Browser andsecurity2015
Browser andsecurity2015
 
Wireshark入門(3)
Wireshark入門(3)Wireshark入門(3)
Wireshark入門(3)
 
Wireshark入門
Wireshark入門Wireshark入門
Wireshark入門
 
実際に流れているデータを見てみよう
実際に流れているデータを見てみよう実際に流れているデータを見てみよう
実際に流れているデータを見てみよう
 
Pakeana 06
Pakeana 06Pakeana 06
Pakeana 06
 
Windows 8 でパケットキャプチャ
Windows 8 でパケットキャプチャWindows 8 でパケットキャプチャ
Windows 8 でパケットキャプチャ
 
ネクスト・ジェネレーションクラウドネットワーク~雲の中のリストラクチャリング~
ネクスト・ジェネレーションクラウドネットワーク~雲の中のリストラクチャリング~ネクスト・ジェネレーションクラウドネットワーク~雲の中のリストラクチャリング~
ネクスト・ジェネレーションクラウドネットワーク~雲の中のリストラクチャリング~
 
Node最新トピックス
Node最新トピックスNode最新トピックス
Node最新トピックス
 
クラウド時代のスケールアウト型テレメトリングシステムの考察
クラウド時代のスケールアウト型テレメトリングシステムの考察クラウド時代のスケールアウト型テレメトリングシステムの考察
クラウド時代のスケールアウト型テレメトリングシステムの考察
 
Contiv on vagrant_20160224
Contiv on vagrant_20160224Contiv on vagrant_20160224
Contiv on vagrant_20160224
 
パブリッククラウドConoHaを使ってOpenStack APIを理解する
パブリッククラウドConoHaを使ってOpenStack APIを理解するパブリッククラウドConoHaを使ってOpenStack APIを理解する
パブリッククラウドConoHaを使ってOpenStack APIを理解する
 
MistCDNの概要 / Technical Session - WebRTC Meetup Tokyo #9
MistCDNの概要 / Technical Session - WebRTC Meetup Tokyo #9MistCDNの概要 / Technical Session - WebRTC Meetup Tokyo #9
MistCDNの概要 / Technical Session - WebRTC Meetup Tokyo #9
 
Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)
Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)
Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)
 
【さくらインターネット】簡単解説 SSLサーバ証明書とは?
【さくらインターネット】簡単解説 SSLサーバ証明書とは?【さくらインターネット】簡単解説 SSLサーバ証明書とは?
【さくらインターネット】簡単解説 SSLサーバ証明書とは?
 
Wireguard 実践入門
Wireguard 実践入門Wireguard 実践入門
Wireguard 実践入門
 
Nginx バージョンアップ動向(2015/07〜2015/12)
Nginx バージョンアップ動向(2015/07〜2015/12)Nginx バージョンアップ動向(2015/07〜2015/12)
Nginx バージョンアップ動向(2015/07〜2015/12)
 

Similar to Message Analyzer 再入門【1】

Microsoft Tunnel 概要
Microsoft Tunnel 概要Microsoft Tunnel 概要
Microsoft Tunnel 概要Yutaro Tamai
 
マルウェア通信検知手法におけるUser-Agentの有効性の一考察
マルウェア通信検知手法におけるUser-Agentの有効性の一考察マルウェア通信検知手法におけるUser-Agentの有効性の一考察
マルウェア通信検知手法におけるUser-Agentの有効性の一考察Recruit Technologies
 
Rancher2.3とwindows Containerで作るkubernetesクラスタ
Rancher2.3とwindows Containerで作るkubernetesクラスタRancher2.3とwindows Containerで作るkubernetesクラスタ
Rancher2.3とwindows Containerで作るkubernetesクラスタTakashi Kanai
 
IoT Agents をデバッグする方法 - FIWARE WednesdayWebinars
IoT Agents をデバッグする方法 - FIWARE WednesdayWebinarsIoT Agents をデバッグする方法 - FIWARE WednesdayWebinars
IoT Agents をデバッグする方法 - FIWARE WednesdayWebinarsfisuda
 
2015 0227 OSC-Spring Tokyo NETMF
2015 0227 OSC-Spring Tokyo NETMF2015 0227 OSC-Spring Tokyo NETMF
2015 0227 OSC-Spring Tokyo NETMFAtomu Hidaka
 
Mathworks installation help_ja_jp
Mathworks installation help_ja_jpMathworks installation help_ja_jp
Mathworks installation help_ja_jpEddie Muñoz
 
Mathworks installation help_ja_jp
Mathworks installation help_ja_jpMathworks installation help_ja_jp
Mathworks installation help_ja_jpLuisVictorLizardo
 
SNMPセキュリティ超入門
SNMPセキュリティ超入門SNMPセキュリティ超入門
SNMPセキュリティ超入門mkoda
 
System Center Operations Managerによる仮想環境の高度な管理
System Center Operations Managerによる仮想環境の高度な管理System Center Operations Managerによる仮想環境の高度な管理
System Center Operations Managerによる仮想環境の高度な管理junichi anno
 
Interactive connection2
Interactive connection2Interactive connection2
Interactive connection2Takao Tetsuro
 
IBM Rational Team Concertに触れてみた
IBM Rational Team Concertに触れてみたIBM Rational Team Concertに触れてみた
IBM Rational Team Concertに触れてみたYou&I
 
Interop2016-openstack-user-group-mizuno
Interop2016-openstack-user-group-mizunoInterop2016-openstack-user-group-mizuno
Interop2016-openstack-user-group-mizunoshintaro mizuno
 
Whats new in_a360-19-20_jp
Whats new in_a360-19-20_jpWhats new in_a360-19-20_jp
Whats new in_a360-19-20_jpssuser033561
 
Cloud OS Tech Day 2014:Windows Azure Pack プライベートクラウドとセルフポータル(仮)
Cloud OS Tech Day 2014:Windows Azure Pack プライベートクラウドとセルフポータル(仮)Cloud OS Tech Day 2014:Windows Azure Pack プライベートクラウドとセルフポータル(仮)
Cloud OS Tech Day 2014:Windows Azure Pack プライベートクラウドとセルフポータル(仮)wind06106
 
App controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウドApp controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウドTakashi Kanai
 
openstack_neutron-ovs_osc2014tf_20141019
openstack_neutron-ovs_osc2014tf_20141019openstack_neutron-ovs_osc2014tf_20141019
openstack_neutron-ovs_osc2014tf_20141019Takehiro Kudou
 

Similar to Message Analyzer 再入門【1】 (20)

Microsoft Tunnel 概要
Microsoft Tunnel 概要Microsoft Tunnel 概要
Microsoft Tunnel 概要
 
マルウェア通信検知手法におけるUser-Agentの有効性の一考察
マルウェア通信検知手法におけるUser-Agentの有効性の一考察マルウェア通信検知手法におけるUser-Agentの有効性の一考察
マルウェア通信検知手法におけるUser-Agentの有効性の一考察
 
Rancher2.3とwindows Containerで作るkubernetesクラスタ
Rancher2.3とwindows Containerで作るkubernetesクラスタRancher2.3とwindows Containerで作るkubernetesクラスタ
Rancher2.3とwindows Containerで作るkubernetesクラスタ
 
IoT Agents をデバッグする方法 - FIWARE WednesdayWebinars
IoT Agents をデバッグする方法 - FIWARE WednesdayWebinarsIoT Agents をデバッグする方法 - FIWARE WednesdayWebinars
IoT Agents をデバッグする方法 - FIWARE WednesdayWebinars
 
2015 0227 OSC-Spring Tokyo NETMF
2015 0227 OSC-Spring Tokyo NETMF2015 0227 OSC-Spring Tokyo NETMF
2015 0227 OSC-Spring Tokyo NETMF
 
Mathworks installation help_ja_jp
Mathworks installation help_ja_jpMathworks installation help_ja_jp
Mathworks installation help_ja_jp
 
Mathworks installation help_ja_jp
Mathworks installation help_ja_jpMathworks installation help_ja_jp
Mathworks installation help_ja_jp
 
SNMPセキュリティ超入門
SNMPセキュリティ超入門SNMPセキュリティ超入門
SNMPセキュリティ超入門
 
System Center Operations Managerによる仮想環境の高度な管理
System Center Operations Managerによる仮想環境の高度な管理System Center Operations Managerによる仮想環境の高度な管理
System Center Operations Managerによる仮想環境の高度な管理
 
Interactive connection2
Interactive connection2Interactive connection2
Interactive connection2
 
IBM Rational Team Concertに触れてみた
IBM Rational Team Concertに触れてみたIBM Rational Team Concertに触れてみた
IBM Rational Team Concertに触れてみた
 
Interop2016-openstack-user-group-mizuno
Interop2016-openstack-user-group-mizunoInterop2016-openstack-user-group-mizuno
Interop2016-openstack-user-group-mizuno
 
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
 
Mercurial入門
Mercurial入門Mercurial入門
Mercurial入門
 
Whats new in_a360-19-20_jp
Whats new in_a360-19-20_jpWhats new in_a360-19-20_jp
Whats new in_a360-19-20_jp
 
Cloud OS Tech Day 2014:Windows Azure Pack プライベートクラウドとセルフポータル(仮)
Cloud OS Tech Day 2014:Windows Azure Pack プライベートクラウドとセルフポータル(仮)Cloud OS Tech Day 2014:Windows Azure Pack プライベートクラウドとセルフポータル(仮)
Cloud OS Tech Day 2014:Windows Azure Pack プライベートクラウドとセルフポータル(仮)
 
Whats service mesh & istio ?
Whats service mesh & istio ?Whats service mesh & istio ?
Whats service mesh & istio ?
 
App controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウドApp controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウド
 
OpenStack批評 2015
OpenStack批評 2015OpenStack批評 2015
OpenStack批評 2015
 
openstack_neutron-ovs_osc2014tf_20141019
openstack_neutron-ovs_osc2014tf_20141019openstack_neutron-ovs_osc2014tf_20141019
openstack_neutron-ovs_osc2014tf_20141019
 

More from 彰 村地

Process Monitor の使い方
Process Monitor の使い方Process Monitor の使い方
Process Monitor の使い方彰 村地
 
Windows クライアントのトラブルシューティングあれこれ
Windows クライアントのトラブルシューティングあれこれWindows クライアントのトラブルシューティングあれこれ
Windows クライアントのトラブルシューティングあれこれ彰 村地
 
Windows 365 のテクノロジーとインフラストラクチャー
Windows 365 のテクノロジーとインフラストラクチャーWindows 365 のテクノロジーとインフラストラクチャー
Windows 365 のテクノロジーとインフラストラクチャー彰 村地
 
Windows 11 がやってくる - IT管理者の準備と対策
Windows 11 がやってくる -  IT管理者の準備と対策Windows 11 がやってくる -  IT管理者の準備と対策
Windows 11 がやってくる - IT管理者の準備と対策彰 村地
 
Internet Explorer サポート提供終了で変わること変わらないこと
Internet Explorer サポート提供終了で変わること変わらないことInternet Explorer サポート提供終了で変わること変わらないこと
Internet Explorer サポート提供終了で変わること変わらないこと彰 村地
 
How tousemicrosoftsearch 20200725
How tousemicrosoftsearch 20200725How tousemicrosoftsearch 20200725
How tousemicrosoftsearch 20200725彰 村地
 
(管理者向け) Microsoft Edge の展開と管理の手法
(管理者向け) Microsoft Edge の展開と管理の手法(管理者向け) Microsoft Edge の展開と管理の手法
(管理者向け) Microsoft Edge の展開と管理の手法彰 村地
 
見せてもらおうか、新しい Microsoft Edge の性能とやらを
見せてもらおうか、新しい Microsoft Edge の性能とやらを見せてもらおうか、新しい Microsoft Edge の性能とやらを
見せてもらおうか、新しい Microsoft Edge の性能とやらを彰 村地
 
(Web に関わる人に知っておいてほしい)Web ブラウザー 最新事情
(Web に関わる人に知っておいてほしい)Web ブラウザー 最新事情(Web に関わる人に知っておいてほしい)Web ブラウザー 最新事情
(Web に関わる人に知っておいてほしい)Web ブラウザー 最新事情彰 村地
 
Java で開発する Azure Web Apps アプリケーション
Java で開発する Azure Web Apps アプリケーションJava で開発する Azure Web Apps アプリケーション
Java で開発する Azure Web Apps アプリケーション彰 村地
 
O365 ユーザーのための Azure Storage 入門
O365 ユーザーのための Azure Storage 入門O365 ユーザーのための Azure Storage 入門
O365 ユーザーのための Azure Storage 入門彰 村地
 
Web standard 2019_0216
Web standard 2019_0216Web standard 2019_0216
Web standard 2019_0216彰 村地
 
アドレスバーにURL打ち込んでからページが表示されるまでに 何が起こっているか
アドレスバーにURL打ち込んでからページが表示されるまでに 何が起こっているかアドレスバーにURL打ち込んでからページが表示されるまでに 何が起こっているか
アドレスバーにURL打ち込んでからページが表示されるまでに 何が起こっているか彰 村地
 
Azure Network Watcher / Azure仮想ネットワークの監視と情報収集
Azure Network Watcher / Azure仮想ネットワークの監視と情報収集Azure Network Watcher / Azure仮想ネットワークの監視と情報収集
Azure Network Watcher / Azure仮想ネットワークの監視と情報収集彰 村地
 
System Resource Utilization Monitor を知ろう
System Resource Utilization Monitor を知ろうSystem Resource Utilization Monitor を知ろう
System Resource Utilization Monitor を知ろう彰 村地
 
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティHTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ彰 村地
 
HTML はネットワークを いかに変えてきたか
HTML はネットワークをいかに変えてきたかHTML はネットワークをいかに変えてきたか
HTML はネットワークを いかに変えてきたか彰 村地
 
EcmaScript 仕様書を読もう
EcmaScript 仕様書を読もうEcmaScript 仕様書を読もう
EcmaScript 仕様書を読もう彰 村地
 
目視パケット解析入門
目視パケット解析入門目視パケット解析入門
目視パケット解析入門彰 村地
 
About Project Spartan
About Project SpartanAbout Project Spartan
About Project Spartan彰 村地
 

More from 彰 村地 (20)

Process Monitor の使い方
Process Monitor の使い方Process Monitor の使い方
Process Monitor の使い方
 
Windows クライアントのトラブルシューティングあれこれ
Windows クライアントのトラブルシューティングあれこれWindows クライアントのトラブルシューティングあれこれ
Windows クライアントのトラブルシューティングあれこれ
 
Windows 365 のテクノロジーとインフラストラクチャー
Windows 365 のテクノロジーとインフラストラクチャーWindows 365 のテクノロジーとインフラストラクチャー
Windows 365 のテクノロジーとインフラストラクチャー
 
Windows 11 がやってくる - IT管理者の準備と対策
Windows 11 がやってくる -  IT管理者の準備と対策Windows 11 がやってくる -  IT管理者の準備と対策
Windows 11 がやってくる - IT管理者の準備と対策
 
Internet Explorer サポート提供終了で変わること変わらないこと
Internet Explorer サポート提供終了で変わること変わらないことInternet Explorer サポート提供終了で変わること変わらないこと
Internet Explorer サポート提供終了で変わること変わらないこと
 
How tousemicrosoftsearch 20200725
How tousemicrosoftsearch 20200725How tousemicrosoftsearch 20200725
How tousemicrosoftsearch 20200725
 
(管理者向け) Microsoft Edge の展開と管理の手法
(管理者向け) Microsoft Edge の展開と管理の手法(管理者向け) Microsoft Edge の展開と管理の手法
(管理者向け) Microsoft Edge の展開と管理の手法
 
見せてもらおうか、新しい Microsoft Edge の性能とやらを
見せてもらおうか、新しい Microsoft Edge の性能とやらを見せてもらおうか、新しい Microsoft Edge の性能とやらを
見せてもらおうか、新しい Microsoft Edge の性能とやらを
 
(Web に関わる人に知っておいてほしい)Web ブラウザー 最新事情
(Web に関わる人に知っておいてほしい)Web ブラウザー 最新事情(Web に関わる人に知っておいてほしい)Web ブラウザー 最新事情
(Web に関わる人に知っておいてほしい)Web ブラウザー 最新事情
 
Java で開発する Azure Web Apps アプリケーション
Java で開発する Azure Web Apps アプリケーションJava で開発する Azure Web Apps アプリケーション
Java で開発する Azure Web Apps アプリケーション
 
O365 ユーザーのための Azure Storage 入門
O365 ユーザーのための Azure Storage 入門O365 ユーザーのための Azure Storage 入門
O365 ユーザーのための Azure Storage 入門
 
Web standard 2019_0216
Web standard 2019_0216Web standard 2019_0216
Web standard 2019_0216
 
アドレスバーにURL打ち込んでからページが表示されるまでに 何が起こっているか
アドレスバーにURL打ち込んでからページが表示されるまでに 何が起こっているかアドレスバーにURL打ち込んでからページが表示されるまでに 何が起こっているか
アドレスバーにURL打ち込んでからページが表示されるまでに 何が起こっているか
 
Azure Network Watcher / Azure仮想ネットワークの監視と情報収集
Azure Network Watcher / Azure仮想ネットワークの監視と情報収集Azure Network Watcher / Azure仮想ネットワークの監視と情報収集
Azure Network Watcher / Azure仮想ネットワークの監視と情報収集
 
System Resource Utilization Monitor を知ろう
System Resource Utilization Monitor を知ろうSystem Resource Utilization Monitor を知ろう
System Resource Utilization Monitor を知ろう
 
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティHTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
 
HTML はネットワークを いかに変えてきたか
HTML はネットワークをいかに変えてきたかHTML はネットワークをいかに変えてきたか
HTML はネットワークを いかに変えてきたか
 
EcmaScript 仕様書を読もう
EcmaScript 仕様書を読もうEcmaScript 仕様書を読もう
EcmaScript 仕様書を読もう
 
目視パケット解析入門
目視パケット解析入門目視パケット解析入門
目視パケット解析入門
 
About Project Spartan
About Project SpartanAbout Project Spartan
About Project Spartan
 

Recently uploaded

ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521Satoshi Makita
 
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...atsushi061452
 
論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers
論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers
論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayersToru Tamaki
 
論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation
論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation
論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose EstimationToru Tamaki
 
20240523_IoTLT_vol111_kitazaki_v1___.pdf
20240523_IoTLT_vol111_kitazaki_v1___.pdf20240523_IoTLT_vol111_kitazaki_v1___.pdf
20240523_IoTLT_vol111_kitazaki_v1___.pdfAyachika Kitazaki
 
Intranet Development v1.0 (TSG LIVE! 12 LT )
Intranet Development v1.0 (TSG LIVE! 12 LT )Intranet Development v1.0 (TSG LIVE! 12 LT )
Intranet Development v1.0 (TSG LIVE! 12 LT )iwashiira2ctf
 
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptxssuserbefd24
 
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizesatsushi061452
 
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptxyassun7010
 
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)keikoitakurag
 
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一瑛一 西口
 

Recently uploaded (11)

ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
 
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...
 
論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers
論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers
論文紹介:Deep Occlusion-Aware Instance Segmentation With Overlapping BiLayers
 
論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation
論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation
論文紹介:ViTPose: Simple Vision Transformer Baselines for Human Pose Estimation
 
20240523_IoTLT_vol111_kitazaki_v1___.pdf
20240523_IoTLT_vol111_kitazaki_v1___.pdf20240523_IoTLT_vol111_kitazaki_v1___.pdf
20240523_IoTLT_vol111_kitazaki_v1___.pdf
 
Intranet Development v1.0 (TSG LIVE! 12 LT )
Intranet Development v1.0 (TSG LIVE! 12 LT )Intranet Development v1.0 (TSG LIVE! 12 LT )
Intranet Development v1.0 (TSG LIVE! 12 LT )
 
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
 
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
 
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
 
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
 
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
 

Message Analyzer 再入門【1】

  • 1. Message Analyzer 再入門 【1】 Murachi Akira aka hebikuzure This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
  • 2. About me  村地 彰 aka hebikuzure  http://www.murachi.net/  http://www.hebikuzure.com/  https://hebikuzure.wordpress.com/  Microsoft MVP(Internet Explorer)Apr. 2011 ~ 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #322
  • 3. Microsoft のパケットキャプチャ ツール 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #323  Network Monitor 2.x  MicrosoftSystems ManagementServer (SMS) に付属していた ツール  機能限定版が無償提供されていた  Windows Vista 以降では利用できない  Network Monitor 3.x  Windows Vista 以降で利用可能 (Windows 10 は NG?)  フル機能版が無償提供された  Microsoft Message Analyzer  Network Monitor の後継  「パケット キャプチャ ツール」ではない  ETW ログ解析ツール
  • 4. Microsoft Message Analyzer の入手と情報 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #324  ダウンロード ページ http://www.microsoft.com/en- us/download/details.aspx?id=44226  最新版は ver. 1.3.1 (2015/7/30 リリース)  Message Analyzer Blog http://blogs.technet.com/b/messageanalyzer/  サポート フォーラム https://social.msdn.microsoft.com/Forums/windowsdes ktop/ en-us/home?forum=messageanalyzer
  • 5. ETW = Event Tracing for Windows 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #325  Windows のコンポーネントに対してトレース ログを出力 させる仕組み  Window のコンポーネント以外のカーネルモード/ユー ザーモード ドライバー、ユーザーモード アプリケーション でも実装可能  Checked Build によるデバッグ プリントより高速でモ ジュール本来の動作に与える影響が少ない  動的な有効化/無効化が可能  出力されるログはバイナリ データ  表示/解析にはツールが必要
  • 6. ETW の仕組み 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #326 http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/27/event-tracing-for-windows-etw.aspx より
  • 7. ETW の仕組み 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #327 トレース採取対象の ドライバー アプリケーション トレース有効化/無効化
  • 8. ETW の仕組み 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #328 トレース データの配信 セッションの作成/管理
  • 9. ETW の仕組み 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #329 トレースの配信
  • 10. ETW の仕組み 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3210 Message Analyzer
  • 11. ETW で「ネットワーク トレース」 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3211  プロバイダ「Microsoft-Windows-NDIS- PacketCapture」のトレースを採取する  Windows 8 以降から利用可能なプロバイダ  Network Monitor と同等のパケット キャプチャが可能
  • 12. NDIS 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3212  Network Driver Interface Specification  %SystemRoot%System32DriversNdis.sys http://blogs.msdn.com/b/jpwdkblog/archive/2010/08/31/windows-network-driver.aspx
  • 13. NDIS-PacketCapture プロバイダの問題 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3213  Windows 7 以前では利用できない  プロバイダを有効にするために管理者権限が必要 ※ Message Analyzer から利用する場合、Message Analyzer を「管理者として実行」する必要がある
  • 14. Message Analyzer でパケット キャプチャ 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3214 1. Message Analyzer を起動 2. [Start Local Trace] をクリック または 1. Message Analyzer を起動 2. [New Session] をクリック 3. [Live Trace] をクリック 4. [Trace Scenario] で [Local Network Interface] を選 択 5. [Start] をクリック
  • 15. パケット キャプチャの開始 – 方法1 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3215
  • 16. パケット キャプチャの開始 – 方法2 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3216 – 方法1
  • 17. パケット キャプチャの開始 – 方法2 (2) 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3217 – 方法1
  • 18. パケット キャプチャの開始 – 方法2 (3) 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3218 – 方法1
  • 19. パケット キャプチャの停止 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3219  ツールバーの [Stop] ボタン  [Session] メニュー – [Stop]
  • 20. データの保存 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3220  ツールバーの [Save] ボタン  [File] メニュー – [Save]  [Save as] で cap 形式 (Microsoft Network Monitor 形式) で 保存できる ⇒ Wireshark で開けます
  • 21. 他のコントローラを使う 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3221  Message Analyzer 以外の ETW コントローラ  logman コマンド  パフォーマンス モニタ (perfmon.exe) – [データ コレクター セット] – [イベント トレース セッション]  いずれも「管理者として実行」が必要
  • 22. 参考資料 2015/9/28© 2015 Murachi Akira - CC BY-NC-ND - #pakeana #3222  ETW へのご招待 http://blogs.msdn.com/b/tsmatsuz/archive/2008/01/2 3/etw.aspx  Event Tracing for Windows (ETW) http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/ 27/event-tracing-for-windows-etw.aspx  FAQ: Common Questions for ETW and Windows Event Log https://social.msdn.microsoft.com/Forums/ja-JP/a1aa1350- 41a0-4490-9ae3-9b4520aeb9d4/faq-common-questions- for-etw-and-windows-event-log  Event Tracing for Windows (ETW) Simplified https://support.microsoft.com/en-us/kb/2593157