Microsoft Network Monitor (NetMon) Traces automatisiert erstellen

(Letztes Update) | Posted by | Administration, KnowHow, Tools |

 

Microsoft Network Monitor (NetMon) Traces automatisiert erstellen

Wer hatte das nicht auch schon mal? Ein Fehler, welcher nur sporadisch, ca. alle 10 – 14 Stunden auftritt! Ich habe gerade ein solches Problem und würde zur genaueren Analyse gerne einen Netzwerk Trace auswerten. Ein Trace über 10 Stunden und mehr würde riesige Datenmegen produzieren und ich würde mit Sicherheit nicht die interessante Stelle im Trace wiederfinden.

Doch dafür gibt es einen kleinen Trick, den ich euch nicht vorenthalten will:

 

Microsoft Network Monitor (NetMon) anpassen

Der Microsoft NetMon 3.4 lässt sich per Kommandozeile zu parametrisieren, sodass er auf bestimmte Netzwerkpakete reagiert. Weiter kann man vorgeben, dass das Tracefile maximal 100MB groß werden soll.

  1. Wir starten NetMon und lassen ihn auf einen PING warten. Sobald der PING empfangen wurde, soll der Trace beendet werden.
  2. Ein zweites kleines Skript durchsucht zyklisch das Logfile der Anwendung nach dem Fehlercode. Sobald der Fehlercode gefunden wurde, wird ein PING an den Server gesendet.
  3. NetMon empfängt den PING und stoppt den Trace.

 

NetMon Start Skript

NMCAP.EXE /Network * /DisableLocalOnly /RecordFilters /RecordConfig
/Capture ipv4.address==10.4.67.173
/File c:\Traces\%COMPUTERNAME%_trace.cap:100M
/StopWhen /Frame (icmp and ipv4.totallength==328)

IP Adresse des Servers, auf welchem NetMon ausgeführt wird:
/Capture ipv4.address==10.4.67.173

Speicherort des Tracefiles, Größe 100MB
/File c:\Traces\%COMPUTERNAME%_trace.cap:100M

Reagiere nur auf ICMP Pakete:
/StopWhen /Frame (icmp and ipv4.totallength==328)

 

Logfile Überwachungsskript

:start
findstr /I /C:”Activation Handler finished” “E:\Quest Software\Migration Manager\DSA\CONFIGS\dsa.log
if %errorlevel% EQU 0 goto stop
sleep 60
goto start
:stop
sleep 300
ping -4 -l 300 10.4.67.173
pause

Das Kommando Findstr sucht den Begriff “Activation Handler finished” in der Datei “dsa.log“. (Der Begriff ist keine Fehlermeldung, sondern ein Beispiel) So lange der Begriff nicht gefunden wurde, läuft eine Endlosschleife im 60 Sekunden Rhythmus. Sobald der Begriff gefunden wurde, wird eine Pause von 5 Minuten eingelegt, damit der Trace auch Daten enthält, welche direkt nach dem Fehler ausgetauscht wurden. Danach wird ein Ping mit der Länge 300 an einen beliebigen Server abgeschickt, die Rückantwort wird den Trace beenden.

Die beiden Tasks werden nacheinander gestartet. Sobald der Suchbegriff im Logfile gefunden wird, beendet sich der Trace automatisch.

Link zur NetMon 3.4 Download Seite

 

Artikel erstellt am: 28.03.2012
Tags:

Leave a Reply

Danke für Ihre Anregungen, Fragen und Hinweise.
Infos zum Datenschutz

AD Gruppen dynamisch machen

© 2019 · Active-Directory-FAQ by firstattribute.com