2014/9/22 開催、第21回「ネットワーク パケットを読む会(仮)」での発表資料です。Microsoft Message Analyzer の機能と利用方法を紹介しています。

1. Microsoft
Message
Analyzer の紹介
村地彰aka hebikuzure
This material provided by CC BY-NC-ND 4.0. See http://creativecommons.org/licenses/by-nc-nd/4.0/

2. About me
村地彰aka hebikuzure
株式会社シーピーエス
http://www.murachi.net/
http://www.hebikuzure.com/
Microsoft MVP (Internet Explorer) Apr. 2011 ～
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 2

3. Microsoft Message Analyzer
Microsoft Network Monitor の後継ツール
Download Microsoft Message Analyzer
◦http://www.microsoft.com/en-us/
download/details.aspx?id=40308
◦http://bit.ly/MessageAnalyzer
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 3

4. NetMon との違い
ETW (Event Tracing for Windows) を利用し
てトレースログ採取
◦ 「パケットキャプチャツール」ではない
ネットワークレベルより上位のレイヤー
のトレースログが採取可能
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 4

5. ETW の概念
http://blogs.msdn.com/b/jpwdkblog/archive/2011/12/27/event-tracing-for-windows-etw.aspx
より引用
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 5

6. ETW の活用
ETW はWindows 2000 以降で利用可能
ドライバーを含むソフトウェアのデバッ
グ出力が元々の目的
新しいWindows のリリースごとに機能
が強化されている
◦ http://msdn.microsoft.com/ja-jp/
library/windows/desktop/dd392330.aspx
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 6

7. インストール
システム要件
◦ Windows 7, Windows 8, Windows 8.1, Windows
Server 2008 R2, Windows Server 2012, Windows
Server 2012 R2
◦ .NET Framework 4.0 (.NET Framework 4.5 推奨)
◦ RAM: 64-bit: 最小2GB, 推奨8GB
32-bit: Minimum: 2GB
◦ CPU: 最低1.4 GHz, 推奨2 x 2.80 GHz (64-bit)
ダウンロードしたファイルを実行
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 7

8. 画面
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 8

9. トレースの開始
1. [File] – [New Session] – [Live Trace]
2. [Trace Scenario] を選択
3. [Start]
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 9

10. Trace Scenario
有効にするETW プロバイダーがプリ
セットされている
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 10

11. ネットワークトレースの
採取
[Trace Scenario] で以下のいずれかを選択
◦ Local Network Interfaces (Win 8 and earlier)
◦ Local Network Interfaces (Win 8.1 and later)
または
◦ Wired Local Area Network (Win 8 and earlier)
◦ Wired Local Area Network (Win 8.1 and later)
◦ Wireless Local Area Network (Win 8 and earlier)
◦ Wireless Local Area Network (Win 8.1 and later)
参考: http://technet.microsoft.com/en-us/library/jj659262.aspx
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 11

12. Filter
NetMon と同じフィルターが設定できる
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 12

13. Viewpoints
トレースを分析するプロトコルレイ
ヤーをプリセットした「視点」
◦ [Viewpoints] から選択、[Default Viewpoint] で
解除
◦ Viewpoint の編集、追加は今後機能追加
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 13

14. 上位レイヤーのトレース
(SMB)
Trace Scenario で[File Sharing] から選択す
るとSMB のETW トレースが採取できる
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 14

15. USB / Bluetooth のトレー
ス
Trace Scenario で[Device] から選択すると
USB / Bluetooth のETW トレースが採取で
きる
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 15

16. Pros
OS の標準機能だけでトレースログが採
取できる(OS バージョンに制限有り)
必要なレイヤーでログが採取できる
ログのパース(解析) が強力
リモートトレースも可能(OS バージョ
ンに制限有り)
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 16

17. Cons
生パケットデータが見えない
動作環境が限られる
動作が重い(トレース採取の負荷、パー
スの負荷ともに高くなる場合がある)
不足している機能がまだある
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 17

18. 結論
ネットワークレベルのパケット解析に
は向かない
上位レイヤーを含めた解析には使える
今後の機能強化に期待
2014/9/22 © 2014 Murachi Akira - CC BY-NC-ND - pakeana #21 18