Làm việc với Network Monitor (Phần 3)

Trong hai phần trước chúng tôi đã giới thiệu cho các bạn một số kỹ thuật cơ bản về capture dữ liệu bằng Network Monitor. Phần 3 này sẽ tiếp tục giới thiệu cách phân tích dữ liệu mà bạn đã capture được.
Nội dung trích xuất từ tài liệu:
Làm việc với Network Monitor (Phần 3)Làm việc với Network Monitor (Phần 3)Nguồn:quantrimang.com Brien M. PoseyTrong hai phần trước chúng tôi đã giới thiệu cho các bạn một số kỹ thuậtcơ bản về capture dữ liệu bằng Network Monitor. Phần 3 này sẽ tiếp tụcgiới thiệu cách phân tích dữ liệu mà bạn đã capture được.Với mục đích đơn giản, chúng ta thực hiện thao tác ping đơn giản. Để thực hiệnđiều đó bạn phải đăng nhập vào máy chủ mà bạn sẽ chạy Network Monitor, mởcửa sổ lệnh. Khi cửa sổ lệnh đã mở, đánh lệnh “PING”, sau đó là một dấu cáchvà tên miền đầy đủ hoặc một địa chỉ IP của máy tính trong mạng, nhưng bạn vẫnchưa nhấn phím Enter lúc này. Mở Network Monitor và chọn lệnh Start từ menuCapture. Ngay lúc đó chuyển sang cửa sổ lệnh và nhấn Enter để thực thi lệnhping. Lệnh này sẽ trả về các kết quả như thể hiện trên hình A. Ngay khi lệnh nàykết thúc bạn sẽ chuyển lại màn hình của Network Monitor và chọn lệnh Stop từmenu Capture. Thực hiện như vậy bạn sẽ capturre được các gói có liên quanđến lệnh ping, nhưng cũng sẽ capture được một số lưu lượng không liên quan. Hình A: Các kết quả trả về của lệnh PINGSau khi bạn dừng quá trình capture, kích vào biểu tượng Display Captured Data( ) để có thể xem được dữ liệu đã capture. Số lượng dữ liệu thực sự sẽ đượchiển thị thành một phần của quá trình capture, điều đó phụ thuộc vào mạng củabạn bận như thế nào và lệnh PING mất thời gian bao lâu để hoàn tất. Trên mạngtrong phòng thí nghiệm thì bạn chỉ có thể capture được một số khung trong khiđó bạn có thể sẽ capture được hầu hết các khung nếu thực hiện capture từ mộtmạng sản xuất. Ví dụ như khi thử thủ tục này trong khi đang viết bài này, tôi đãcapture được gần 6 trăm khung trong vòng 5 giây một lần.Có nghĩa là nếu bạn đã sử dụng Network Monitor để xử lý một vấn đề của mạngtrong thế giới thực thì sẽ có thể capture được một số dữ liệu không thích hợp.Biết cách chọn lọc dữ liệu sẽ là một kỹ năng cần thiết bởi khi đó sẽ xác địnhđược dữ liệu mà bạn thực sự cần quan tâm.Nếu quan sát hình B bạn sẽ thấy rằng có khá nhiều gói tin đã được capture.Công việc của chúng ta làm phải lọc được các gói không liên quan đến hànhđộng mà chúng ta đã thực hiện capture để phân tích các gói đã được capturemột cách dễ dàng hơn. Hình B: Network Monitor cho thấy cả lưu lượng không liên quan đến việc phân tích của bạnĐể thực hiện điều đó, bạn kích vào biểu tượng Filter trên thanh công cụ. Khi kíchxong, bạn sẽ nhìn thấy một hộp thoại như hình C. Hộp thoại này sẽ cho biếtNetwork Monitor cho bạn thấy tất cả dữ liệu đã được capture mà không quantâm đến giao thức hoặc địa chỉ IP. Hình C: Hộp thoại Display FilterTuy nhiên chúng ta đã thực hiện PING từ máy tính này sang một máy tính khácvà chúng ta biết được các địa chỉ IP có liên quan đến lệnh PING. Chính vì vậy cóthể lọc được các địa chỉ khác. Để thực hiện điều đó, bạn chọn dòng ANY ANY và kích vào nút Edit Expression. Lúc này sẽ thấy được màn hình tương tựnhư hình D.Hình D: Hộp thoại Expression cho phép bạn chọn các địa chỉ liên quan đến tình huống hiện tạiMàn hình này cho phép chọn các địa chỉ của hai máy tính có liên quan đến tìnhhuống của bạn. Thông thường chỉ cần chọn địa chỉ nguồn và địa chỉ đích, thẩmđịnh cột hướng (Direction) được thiết lập là , sau đó kích OK. Trong trườnghợp riêng này, tất cả mọi thứ đều rất đơn giản.Bạn sẽ thấy được trong hình này có rất nhiều địa chỉ IP có liên quan đến máytính thử nghiệm. Điều đó là vì máy tính này là một máy chủ Web và đang quản lýnhiều website, mỗi một website lại có một địa chỉ riêng. Trong tình huống tươngtự, bạn nên chọn địa chỉ chính của máy tính trừ khi có một lý do riêng để sửdụng một trong các địa chỉ còn lại.Một thứ khác ở đây làm cho màn hình hiển thị hơi khó hiểu một chút là địa củachỉ máy đích không được hiển thị. Bạn có thể cố sửa điều này bằng cách kíchnút Edit Addresses. Khi đó sẽ thấy được một danh sách tất cả các địa chỉ từdanh sách trước đó. Kích vào nút Add bạn sẽ có cơ hội thêm một địa chỉ vàodanh sách. Lưu ý trong hình E là phải chọn kiểu địa chỉ (IP hoặc MAC) mà bạnmuốn bổ sung. Kích OK, sau đó là Close, địa chỉ sẽ được thêm vào bộ lọc địachỉ. Hình E: Thêm địa chỉ vào danh sáchBây giờ bạn chọn các địa chỉ IP có liên quan đến tình huống đã quan tâm, sauđó kích OK hai lần. Danh sách các khung đã được capture hiện đã được lọc chỉhiển thị lưu lượng từ các máy tính được chọn, như hình F. Hình F: Danh sách dữ liệu đã được capture chỉ hiển thị các khung mà chúng ta quan tâmKhi việc capture của chúng ta chỉ liên quan đến lệnh PING thì bạn hoàn toàn sẽkhông bị bất cứ vấn đề gì về việc định vị dữ liệu mà bạn đang tìm kiếm. Trongthế giới thực, đôi khi xảy ra tình huống dữ liệu mà bạn đang cố gắng capture c ...