マイクロソフト純正「ネットワークモニター」はこんなに進化しましたITプロ必携の超便利システム管理ツール集(9)

前回はネットワークプロトコルアナライザーの定番「Wireshark」を取り上げました。マルチプラットフォーム対応のWiresharkに対し、今回の「Microsoft Message Analyzer」は“マイクロソフト純正”のWindows専用アナライザーです。

» 2014年09月19日 14時30分 公開
[山市良テクニカルライター]
「ITプロ必携の超便利システム管理ツール集」のインデックス

連載目次

今回紹介するツール

[ツール名]Microsoft Message Analyzer

[対象]Windows 7以降、Windows Server 2008 R2以降

[提供元]マイクロソフト

[ダウンロード先][URL]http://www.microsoft.com/en-us/download/details.aspx?id=44226[英語]

【※】2014年9月16日(日本時間)に新バージョン「Message Analyzer 1.1」が公開されました。本稿は「Message Analyzer 1.0」に基づいて記述しています。


Network Monitorから大きく進化したMessage Analyzer

 「Microsoft Message Analyzer」(以下、Message Analyzer)は、マイクロソフトが無償提供するネットワークプロトコルアナライザーです(画面1)。前回取り上げた「Wireshark」が異種混在環境で利用可能な上級管理者向け汎用ネットワークツールであるとするなら、Message AnalyzerはWindows主体のネットワーク管理に適したツールといえます。

画面1 画面1 Message Analyzerのスタートページ。Network Monitorに慣れている人は、GUIの違いに戸惑うだろう

 オープンソースやフリーソフトのツールを利用するのはなんだか不安という人でも、“マイクロソフトの純正ツール”ならば利用してみようという気になるのではないでしょうか。

 マイクロソフトが提供するこの種のツールといえば、「ネットワークモニター/Network Monitor」を思い浮かべる人も多いでしょう。

 ネットワークモニターは当初、マイクロソフトの初期の統合システム運用管理製品である「Microsoft Systems Management Server(SMS)」(現在のSystem Center Configuration Managerの前身)の一部として提供され、Windows 2000 ServerやWindows Server 2003にはネットワークモニター 2.0/2.1の“サブセット版”(機能制限版)が標準搭載されました。

 その後、Network Monitor 3.0(英語版のみ)以降は無償ダウンロード提供に切り替えられました。Network Monitorの名称では「3.4」が最新版であり、このバージョンが最後になります(画面2)。マイクロソフトからNetwork Monitor 4.0がリリースされる予定はありません。Message AnalyzerがNetwork Monitorの後継となるツールなのです。

画面2 画面2 この名前では最後のバージョンとなる「Network Monitor 3.4」は、シンプルで使いやすい

 Message Analyzerは名称に「Message」という言葉が入っていることで、ネットワークモニター/Network Monitorの後継ツールであることが分かりにくくなっていますが、Windowsのイベントトレース機能(Event Tracing for Windows:ETW)を使用して、“プロトコル”レベルだけでなく“メッセージ”(上位プロトコルのやりとりやシステムメッセージ)レベルでも解析できるようになった点が、Network Monitorから大きく進化したところです。

 Message AnalyzerはWindows 7以降、Windows Server 2008 R2以降のx86およびx64環境に対応し、.NET Framework 4.0以降が必要になります。Network MonitorからはGUI(Graphical User Interface)や操作性が大きく変更されました。

 一方、Network Monitor 3.4は、Windows XP Service Pack(SP)3以降、Windows Server 2003以降のx86、x64、IA-64環境と幅広いWindowsに対応しており、筆者個人の感想ではこちらの方がシンプルで使いやすいという印象です。Message AnalyzerとNetwork Monitorは同じPC上に同居できるので、状況に応じて使い分けるとよいでしょう。

基本はトレースシナリオでキャプチャし、ビューで解析

 Message Analyzerには複数の「トレースシナリオ(Trace Scenarios)」が組み込まれており、目的に沿ったシナリオを選択してプロトコル/メッセージをキャプチャし、キャプチャデータをオンラインまたはオフラインで分析することができます。「Local Link Layer」や「LAN」のシナリオを選択すれば、以前のNetwork Monitorと同じようなイメージでパケットをキャプチャできます(画面3)。

画面3 画面3 目的に合わせてシナリオを選択し、キャプチャを開始する。Network Monitorと同じように使いたければ「Local Link Layer」や「LAN」を選択すればよい

 膨大なキャプチャデータは、フィルターを適用して範囲を絞り込んだり、「ビューポイント(Viewpoints)」を切り替えて特定のプロトコル層やシステムメッセージの視点で分析したりすることができます(画面4)。チャートやグラフのビューでは、プロトコル分布やアクティビティを参照することも可能です。

画面4 画面4 フィルターやビューポイント、カラールールを活用することで、膨大なキャプチャデータを効率的に分析できる

SMB、IPSec、HTTPSトラフィックの高度な分析も可能

 「SMBクライアント」または「SMBサーバー」のシナリオを選択してキャプチャすれば、Server Message Block(SMB)プロトコルを使用するWindowsネットワークのトラフィックを、システムメッセージを含めてトレースすることができます(画面5)。

画面5 画面5 「SMBクライアント」シナリオを用いて、SMBのトラフィックをシステムメッセージと合わせてトレースしているところ

 また、「Firewall」や「Web Proxy」のシナリオを選択すれば、IPSecやHTTPSの暗号化通信を、暗号化が解除されるエンドポイントでキャプチャすることが可能です(画面6)。「Firewall」シナリオは、Windows Filtering Platform(WFP)のトレース機能を利用します。

画面6 画面6 「Web Proxy」シナリオを用いて、HTTPSのトラフィックをトレースしているところ

 IPSecのエンドポイントの構成は「セキュリティが強化されたWindowsファイアウォール」で行うため、IPSecのトラフィックを暗号化なしの状態でキャプチャできるというわけです。IPSecやHTTPSのキャプチャは、暗号化が解除されるエンドポイントの上位層でキャプチャするのであって、秘密の通信を盗聴しているわけではありません。

 システムメッセージを含めたキャプチャや、IPSecやHTTPSの暗号化通信のキャプチャ機能は、以前のNetwork Monitorや他の一般的なネットワークプロトコルアナライザーでは実現できない機能です。

「ITプロ必携の超便利システム管理ツール集」バックナンバー

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Hyper-V(Oct 2008 - Sep 2014)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手がける。個人ブログは『山市良のえぬなんとかわーるど』。


Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。