Archivo de la etiqueta: Troubleshooting

Network Monitor (2/2)

¡Hola de nuevo!

¿Echabais de menos a Network Monitor? ¿Os supo a poco el anterior artículo donde hacíamos una introducción al producto?

Continuando con algunas curiosidades que podemos hacer con la herramienta de análisis de red de Microsoft, hoy vamos a conocer aquellas un poco más avanzadas:

Ejecución de la captura desde la línea de comandos:

Aquí tenéis la referencia general, donde podemos ver cosas tan interesantes como la posibilidad de especificar la red donde queremos capturar, o el tamaño máximo de la captura.

Managing Network Monitor from the command line: http://technet.microsoft.com/en-us/library/cc782726(v=ws.10).aspx

 

Trazas circulares:

Una de las cosas que más nos puede ayudar en el troubleshooting de un problema que no podemos reproducir en cualquier momento, es tener una captura que se mantenga en el tiempo, que el tamaño no se haga inmanejable, y que podamos pararla en el momento en el que el problema surja de nuevo.

La línea de comandos de Network Monitor nos permite hacerlo a través de las trazas circulares, pudiendo establecer un tamaño máximo de la traza, una hora de inicio o de fin, etc.

En el siguiente ejemplo, cuando se alcance el tamaño de la traza especificado, se creará un nuevo fichero de la cadena y se seguirá capturando, del modo que quedarían de la forma test(1).chn, test(2).chn, etc.

 

Fusionar trozos de capturas en una más grande:

Imaginaros que en ejemplo anterior, debido al tamaño de cada trozo o de la cantidad de datos que estamos capturando, tenemos que estar cambiando continuamente de trozo para analizar un problema. ¿No sería genial localizar la conversación que queremos en un grupo de trozos, y combinarlos en una traza única?

Network monitor también nos permite hacerlo con la siguiente sentencia:

 

Arrancar una captura con Windows:

Aunque Network Monitor permite capturar durante el arranque del Sistema Operativo, interesante sobre todo para escenarios de “slow logon”, la verdad es que no es el procedimiento más sencillo del mundo:

Capturing a trace at boot up: http://blogs.technet.com/b/netmon/archive/2010/01/04/capturing-a-trace-a-boot-up.aspx

Desde luego, no estamos vendidos sin opciones, y en este caso acude al rescate la herramienta de linea de comandos incorporada con el propio Windows para todos los temas de Networking: netsh

Simplemente tenemos que añadir la opción de persistent, y la herramienta seguirá capturando, incluso durante el arranque del sistema operativo:

clip_image002

No nos tenemos que olvidar de parar la captura:

Luego con Network Monitor podemos abrir sin problema este tipo de ficheros .etl cuando se trata de trazas de red.

clip_image004

 

Asociar la parada de la captura a un Evento:

Imaginaros que tenemos localizado un problema porque cuando ocurre aparece un evento en el Event Viewer, y nos gustaría analizar a nivel de red qué ocurre justo antes, de cara a determinar que propicia la aparición del problema. Con Network Monitor también podemos hacerlo, os dejamos las instrucciones en el siguiente enlace:

EventMon: Stopping a Capture Based on an EventLog Event: http://blogs.technet.com/b/netmon/archive/2007/02/22/eventmon-stopping-a-capture-based-on-an-eventlog-event.aspx

 

Microsoft Message Analyzer:

Hace un par de años que Microsoft sacó la evolución de Network Monitor, llamado Message Analyzer.

La verdad que personalmente no lo he usado mucho. No sé si porque ya estoy acostumbrado a Network Monitor, o por comodidad con los menús, pero tiene sus mejoras, como la posibilidad de cargar nuevos parsers, ver en un formato legible documentos, fotos o videos directamente seleccionando el grupo de trazas que lo forman, etc.

Os dejo el último artículo que ha presentado el grupo que lo lleva para que os hagáis una idea de lo potente que puede ser:

Troubleshooting Microsoft Azure Storage with Message Analyzer: http://azure.microsoft.com/blog/2015/01/27/troubleshooting-microsoft-azure-storage-with-message-analyzer

 

Y con esto acabamos la serie de artículos sobre Network Monitor. Esperamos que os hayan gustado.

¡Happy networking!

Network Monitor (1/2)

¡Hola a todos! ¡Feliz año!

Vamos a empezar 2015 con fuerza 🙂

Una de las herramientas que más nos gustan y que más utilizamos a la hora de hacer troubleshooting es Microsoft Network Monitor.

Con este programa podemos capturar y analizar trazas de red, cosa que viene muy bien ya que en el 80% de los problemas de infraestructura, las comunicaciones están relacionadas en mayor o menor medida.

Aunque Wireshark es una alternativa muy potente y mejor que Network Monitor en muchos casos, como por ejemplo en las búsquedas de strings, el seguimiento de las conversaciones, etc, hay detalles de Netmon que a mi me gustan especialmente.

Vamos a intentar resumir aquellos detalles o cosas a tener en cuenta a la hora de capturar y analizar trazas de red con Network Monitor para que nos hagan la vida más fácil 🙂

1.   Ejecutar netmon con administrador: alguna vez os podéis encontrar con que al arrancar el programa no aparecen los adaptadores de red. La mayoría de las veces se soluciona ejecutando la aplicación como Administrador. Netmon coloca su driver para capturar los paquetes en una capa que está entre el driver del adaptador de red y el propio S.O. Tenerlo en cuenta para determinar donde se queda un paquete una vez llegue al equipo donde estamos capturando.

Ejecutar como admin
Ejecutar como Admin

 

2.   Conocer la IP del equipo donde capturas: una cosa que nos puede ayudar mucho a la hora de analizar unas trazas es poder cargarla al cabo de mucho tiempo y saber rápidamente cual era la dirección IP o direcciones de los diferentes adaptadores que había en esa máquina. Para ello únicamente debemos ver la información del segundo paquete que aparecerá en la captura y acudir a la siguiente sección:

Conocer la dirección IP
Conocer la dirección IP
Conocer la dirección IP y otros datos
Conocer la dirección IP y otros datos

Como veis, aparte de la dirección IP podemos conocer otros datos sobre el adaptador de red.

3.   Parsers: nos van a permitir interpretar cierto tráfico y con diferente nivel de detalle. Para analizar protocolos que a lo mejor no son muy conocidos o para poder ver con más detalle que ocurre en la comunicación entre ciertos procesos, los parsers nos pueden dar esa información que necesitamos. Lo ideal es mantenerlos lo más actualizado posible y si vamos a analizar algún programa en concreto como puede ser Lync, buscar si existen parsers específicos.

Network Monitor Open Source Parsers: http://nmparsers.codeplex.com/

Network Monitor parsers: https://connect.microsoft.com/site216/Network%20Monitor%20Parsers

Lync Network Monitor Parsers: http://www.microsoft.com/en-us/download/details.aspx?id=22440

4.   Colores: una de las cosas más interesante que podemos definir en Network Monitor son las reglas de color para el análisis de trazas. De esta manera podemos construirnos poco a poco nuestras reglas que nos ayuden de un vistazo rápido a encontrar errores o situaciones anómalas que de otra manera podrían pasar inadvertidas si la traza es muy grande. Por ejemplo, para ver de un vistazo un caso de saturación en la red, podemos definir una regla para que nos marque en rojo aquellos paquetes en los que la ventana TCP tenga valor 0:

Reglas de color

De un vistazo rápido a la traza podremos ver si algo ha ido mal. En la siguiente imagen vemos un ReTransmit del Syn de TCP, lo que podría indicar por ejemplo que el puerto está cerrado o que no hay ningún servicio escuchando:

Retransmit
Retransmit

E incluso en una conversación que involucre varios pasos podemos separarlos para ver rápidamente si no pasa alguno de ellos:

Traza SMB
Traza SMB

Os dejo aquí el fichero con las reglas de colores que he ido preparando con los años cogiendo muchas de algunos compañeros. Para cargarlos sólo hay que irse a Tools -> Options -> Color Rules -> Open.

5.   Separar en conversaciones y procesos: otra cosa que nos permite Network Monitor para facilitarnos la vida es un panel lateral donde podemos realizar un filtrado rápido entre las diferentes conversaciones y procesos. Esto es muy útil por ejemplo para analizar comunicaciones que inicie un navegador web (puerto 80, 443), sacar de un vistazo si algo lleva demasiados intentos, etc.

Conversaciones
Conversaciones

 

Hasta aquí la primera parte de las funcionalidades que queremos destacar de esta fantástica herramienta. En el siguiente capítulo veremos cosas muy interesantes que podemos hacer ejecutándola desde la línea de comandos, como arrancarla con Windows o asociar la parada de la captura a un Evento.

Happy networking!