Quản Trị Mạng - Nếu thường xuyên phải tiếp xúc và làm việc với hệ điều hành Windows, chắc chắn bạn sẽ cảm thấy rằng Microsoft Network Monitor chính là 1 trong những công cụ hỗ trợ quá trình phân tích, quản lý hệ thống mạng tốt nhất hiện nay với nhiều chức năng, bao gồm:
- Tín hiệu gửi đi từ bất kỳ máy tính nào trong hệ thống mạng
- Địa chỉ chính xác của máy tính nhận dữ liệu
- Giao thức được sử dụng để hoạt động
- Dạng dữ liệu đang được truyền tải
Và nhiều tính năng khác nữa. Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn một số đặc điểm về tiện ích này.
Capturing
Về mặt kỹ thuật, Microsoft Network Monitor sẽ tiến hành thu thập toàn bộ các luồng dữ liệu thông tin trong hệ thống dựa vào các tiến trình, và quá trình này gọi là capturing. Các bạn có thể sử dụng công cụ này để giám sát thông tin trên tất cả các luồng Frame trên hệ thống hoặc từng phần riêng biệt của Frame nhất định nào đó.
Sử dụng Capturing trong những tình huống nào:
Việc quyết định sử dụng công cụ này sẽ phụ thuộc vào một số yếu tố nhất định có liên quan. Ví dụ: nếu trong 1 hệ thống đơn giản chỉ có 2 máy tính thì sẽ có 2 khả năng: đó là khi có hoặc không kích hoạt tính năng Firewall.
Trong lần xác định trên máy tính 1, hệ thống sẽ rà soát và phát hiện bất cứ gói dữ liệu nào đang bị “bỏ qua” bởi các quy luật của inbound Firewall, còn đối với máy tính 2 thì quy luật tương tự cũng sẽ được áp dụng, nhưng lần này là dựa vào các quy luật outbound của Firewall:
Còn trong những mô hình thực tế, các bạn có thể áp dụng dựa vào sơ đồ dưới đây:
- Trên hệ thống mạng của Windows 7 Client
- Toàn bộ hệ thống bên trong và ngoài Firewall
- Những thành phần được quản lý bởi Exchange Server
Quá trình giám sát bên ngoài hệ thống Firewall chỉ được áp dụng nếu các tính năng của tường lửa đã được thiết lập với quy chế bỏ qua các luồng dữ liệu không thực sự cần thiết. Qua đó, cho dù những luồng dữ liệu này không qua Windows Client nhưng vẫn có thể qua Firewall và đi vào Exchange Server.
Thu thập dữ liệu và sử dụng cheat sheet:
Khi hệ thống mạng đã trở nên “đông đúc” với nhiều máy tính hơn thì nên sử dụng cheat sheet để lưu dữ liệu thu thập được. Và trên thực tế, có những vấn đề phải mất nhiều ngày, thậm chí nhiều tuần thì mới có thể phát hiện và xử lý được, vì có rất nhiều luồng dữ liệu được truyền tải thường xuyên trong hệ thống. Do vậy, nếu không lưu lại những thông tin này thì sẽ rất khó khăn và phức tạp nếu hệ thống gặp vấn đề.
Những dữ liệu cần được lưu lại bao gồm:
- “Triệu chứng” của vấn đề
- Địa chỉ IP của các máy tính có liên quan
- Số lượng các gói dữ liệu đã được phân tích
Ví dụ như sau: giả sử rằng chúng ta có 2 domain controller, một là DC1 với địa chỉ IP: 10.10.10.50, và còn lai là DC2 với địa chỉ IP: 10.10.10.51, hệ thống vừa hoàn tất việc map ổ đĩa trên DC1. Ảnh chụp màn hình dưới đây là thông số Frame Summary bao gồm lượng traffic đã được tạo ra khi network drive được kết nối:
Các gói dữ liệu có liên quan tới ổ đĩa là các thành phần bắt đầu bằng SMBs - Small Message Block. Nếu trong bất kỳ trường hợp nào có lỗi xảy ra trên hệ thống và chúng ta nhận được thông báo Access denied, thì ngay lập tức phải tiến hành xác định và phân tích các gói dữ liệu trong khoảng thời gian đó. Và thông tin được ghi lại trong cheat sheet sẽ có dạng như sau:
network drive mapping
error message - access denied
source ip address = 10.10.10.50
destination ip address = 10.10.10.51
Trong những trường hợp phức tạp hơn, thì người quản trị phải cố gắng ghi lại càng nhiều thông tin càng tốt, qua đó nếu gặp lại những vấn đề tương tự như vậy trong tương lai, chúng ta sẽ dễ dàng xác định nguyên nhân chính xác cũng như cách khắc phục sao cho hiệu quả nhất.
Xác định rõ những luồng thông tin, dữ liệu nào cần lưu trữ:
Về mặt kỹ thuật, chúng ta hoàn toàn có thể thiết lập, chỉ định rõ những phần dữ liệu nào cần giữ lại trong toàn bộ quá trình. Trên thực tế, hệ thống đã có sẵn 5 mẫu phân tích để người sử dụng lựa chọn, nhưng nếu muốn thì chúng ta vẫn có thể tự tạo mẫu cho riêng mình. 5 mẫu phân tích có sẵn bao gồm:
- Pure: gần như không phân tích bất kỳ luồng dữ liệu nào và rất hạn chế các bộ filter
- HPC (High Performance Capture): cung cấp sẵn các bộ lọc đã được tối ưu hóa, chủ yếu tập trung vào tốc độ hoạt động của hệ thống, nhưng lại bị hạn chế với giao thức TCP và UDP
- Faster Pasing: hỗ trợ thêm một số giao thức khác như ARP, HTTP, DNS, và NBTNS nhưng không bao gồm SMB và SMB2.
- Default: chế độ mặc định, áp dụng được với tất cả các giao thức phổ biến, bao gồm SMB, SMB2, và RPC.
- Windows: phân tích tất cả các giao thức dựa trên nền tảng Windows và SQL
Nói theo cách đơn giản, càng nhiều dữ liệu có liên quan tới thông tin có trong các mẫu phân tích, thì quá trình tiến hành sẽ lâu hơn, hệ thống sẽ mất nhiều thời gian để xác định nguyên nhân và phản hồi với người sử dụng. Những thông tin này thường được thiết lập sẵn, trước khi người quản trị bắt đầu quá trình, và để lựa chọn hoặc chuyển đổi giữa các phần mẫu này, các bạn nhấn Parser Profiles > NetworkMonitor Parsers:
Điều chỉnh giao diện:
Tùy từng yêu cầu đối với từng phiên làm việc cụ thể, chúng ta có thể điều chỉnh, thay đổi lại giao diện chính của Network Monitor sao cho phù hợp và đạt hiệu quả cao nhất. Chẳng hạn như sau:
- Hiển thị hoặc giấu bớt những cửa sổ không cần thiết
- Cố định những cửa sổ thường xuyên sử dụng
- Thay đổi giao diện hiển thị bên ngoài của Simple, Diagnostic, Developer...
Nếu muốn di chuyển 1 phần cửa sổ nào đó, chỉ cần chọn và giữ nút Shift, sau đó kéo và thả ra khỏi vị trí cũ, và bây giờ bạn có thể di chuyển tới bất cứ vị trí nào cảm thấy phù hợp nhất:
Còn nếu muốn đóng thì chỉ cần nhấn nút có biểu tượng X ở phía trên góc phải cửa sổ đó:
Để khôi phục lại chế độ hiển thị mặc định ban đầu, các bạn chọn View > Restore Default Layout:
Giao diện mặc định của Microsoft Network Monitor
Và dưới đây là một số mẫu layout có sẵn:
Diagnostic
Developer
Và nếu bạn muốn lưu giữ những thay đổi này trong phần layout thì chỉ cần nhấn nút Save As như hình dưới:
Cửa sổ Save As hiển thị, các bạn đặt tên theo ý muốn với phần đuôi mở rộng là *.cap (Capture File), sau đó nhấn tiếp nút Save:
Trong lần sử dụng Network Monitor tiếp theo, chúng ta sẽ thấy các đường dẫn file hệ thống có sẵn và có thể sử dụng bất cứ lúc nào:
Chúc các bạn thành công!