Microsoft Network Monitor (NetMon) Traces automatisiert erstellen
Wer hatte das nicht auch schon mal? Ein Fehler, welcher nur sporadisch, ca. alle 10 – 14 Stunden auftritt! Ich habe gerade ein solches Problem und würde zur genaueren Analyse gerne einen Netzwerk Trace auswerten. Ein Trace über 10 Stunden und mehr würde riesige Datenmegen produzieren und ich würde mit Sicherheit nicht die interessante Stelle im Trace wiederfinden.
Doch dafür gibt es einen kleinen Trick, den ich euch nicht vorenthalten will:
Microsoft Network Monitor (NetMon) anpassen
Bitte Hinweise am Ende der Seite beachten
Der Microsoft NetMon 3.4 lässt sich per Kommandozeile zu parametrisieren, sodass er auf bestimmte Netzwerkpakete reagiert. Weiter kann man vorgeben, dass das Tracefile maximal 100MB groß werden soll.
- Wir starten NetMon und lassen ihn auf einen PING warten. Sobald der PING empfangen wurde, soll der Trace beendet werden.
- Ein zweites kleines Skript durchsucht zyklisch das Logfile der Anwendung nach dem Fehlercode. Sobald der Fehlercode gefunden wurde, wird ein PING an den Server gesendet.
- NetMon empfängt den PING und stoppt den Trace.
NetMon Start Skript
/Capture ipv4.address==10.4.67.173
/File c:\Traces\%COMPUTERNAME%_trace.cap:100M
/StopWhen /Frame (icmp and ipv4.totallength==328)
IP Adresse des Servers, auf welchem NetMon ausgeführt wird:
/Capture ipv4.address==10.4.67.173
Speicherort des Tracefiles, Größe 100MB
/File c:\Traces\%COMPUTERNAME%_trace.cap:100M
Reagiere nur auf ICMP Pakete:
/StopWhen /Frame (icmp and ipv4.totallength==328)
Logfile Überwachungsskript
findstr /I /C:“Activation Handler finished“ „E:\Quest Software\Migration Manager\DSA\CONFIGS\dsa.log„
if %errorlevel% EQU 0 goto stop
sleep 60
goto start
:stop
sleep 300
ping -4 -l 300 10.4.67.173
pause
Das Kommando Findstr sucht den Begriff „Activation Handler finished“ in der Datei „dsa.log„. (Der Begriff ist keine Fehlermeldung, sondern ein Beispiel) So lange der Begriff nicht gefunden wurde, läuft eine Endlosschleife im 60 Sekunden Rhythmus. Sobald der Begriff gefunden wurde, wird eine Pause von 5 Minuten eingelegt, damit der Trace auch Daten enthält, welche direkt nach dem Fehler ausgetauscht wurden. Danach wird ein Ping mit der Länge 300 an einen beliebigen Server abgeschickt, die Rückantwort wird den Trace beenden.
Die beiden Tasks werden nacheinander gestartet. Sobald der Suchbegriff im Logfile gefunden wird, beendet sich der Trace automatisch.
Link zur NetMon 3.4 Download Seite
Hinweise (update 11.2020)
Der Download steht weiter zur Verfügung. Microsoft empfiehlt allerdings die Software nicht weiter auf Produktivsystemen einzusetzen, da die Entwicklung eingestellt wurde.
Alternative Monitoring-Tools werden u.a. bei Comparitech vorgestellt.
Leave a Reply
<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>