Windows TIPS

［Network］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ ネットワーク・モニタのキャプチャ・フィルタを利用する → 解説をスキップして操作方法を読む デジタルアドバンテージ　打越 浩幸 2006/11/18 　 対象ソフトウェア ネットワーク・モニタ2.x

■ パケットを長時間キャプチャしたり、大量にキャプチャしたりすると、目的のパケットを見つけるのが困難になる。 ■ そのような場合は、キャプチャ・フィルタを設定して、特定のコンピュータとの通信だけをキャプチャするとよい。 ■ キャプチャ・フィルタではプロトコルやアドレス、パターンマッチなどによってフィルタリングすることができる。

　

解説

　TIPS「ネットワーク・モニタでコンピュータ名を定義する」では、MACアドレスやIPアドレスに対して名前（コンピュータ名やホスト名などとも呼ばれる）を定義し、ネットワーク・モニタの解析結果画面で分かりやすく表示させる方法について解説した。

　さらに名前を定義すると、キャプチャや表示においてフィルタ機能を利用することもできる。本TIPSでは、名前によるフィルタ機能の利用方法について解説する。

　ネットワーク・モニタを起動し、何もフィルタを設定せずにパケットをキャプチャさせると、すべてのパケットがキャプチャされる（ただしSMSのフル版ネットワーク・モニタでなければ、自分自身あてのパケットかブロードキャスト・パケットしかキャプチャできない）。だがこれでは、長時間キャプチャした場合や大量の通信が行われている場合には、結果を解析するのがとても面倒になる。例えばリモートデスク・トップ接続などが利用されていると、そのパケットが大量にキャプチャされ、目的の通信パケットを見つけるのが困難になる。

　このような場合は、フィルタを設定してなるべく必要なパケットだけをキャプチャするようにすればよい。例えば特定のWebサーバとの通信内容を解析したければ、そのコンピュータとの通信だけを通すフィルタを設定する。

　フィルタとして設定できる条件にはいろいろなものがあるが、キャプチャ時に利用できる条件はそう多くない。パケットをキャプチャしながら、複雑な演算や処理を行うと、システムの負荷が高くなって、パケットをキャプチャし損ねる（ドロップする、という）からだ。一般的には、特定のコンピュータとの通信だけを通すように、IPアドレスやMACアドレスでフィルタを設定することが多いだろう。

操作方法

アドレス・データベースにフィルタしたい対象の名前を定義する

　ネットワーク・モニタでフィルタ機能を使うためには、まずアドレス・データベースに名前を登録する必要がある。IPアドレスやMACアドレスを直接指定してフィルタリングすることは（基本的には）できない。名前を定義する方法については、TIPS「ネットワーク・モニタでコンピュータ名を定義する」を参照していただきたい。

キャプチャ・フィルタを設定する

　キャプチャ・フィルタを設定するには、［キャプチャ］−［フィルタ］を選択するか、ツールバー上にあるフィルタ（じょうご）のマークのボタンをクリックする。

キャプチャ・フィルタを設定する

キャプチャの前にフィルタを設定する。

これをクリックしてフィルタを設定する。 　 フィルタを設定後、これをクリックしてキャプチャを開始する。

　これをクリックすると、キャプチャ・フィルタの設定ダイアログが表示される。そこで

キャプチャ・フィルタの設定

デフォルトではすべてのパケットをキャプチャするようになっているが、条件を設定して、キャプチャするパケットを絞り込むこともできる。条件としては、プロトコルかアドレス、パターン・マッチが利用できる。

プロトコル・タイプの指定。デフォルトでは任意のプロトコルにマッチするとなっているので、すべてのパケットがキャプチャされる。必要なら変更できる。 　 アドレスの指定。デフォルトでは条件が何も定義されていないので、すべてのパケットがキャプチャされる。必要なら変更できる。最大で3つのアドレス組まで指定できる。 　 パターン・マッチの指定。パケット中の特定の位置にあるデータ・パターンが特定のパターンと一致するかどうかを条件とする。デフォルトでは何も指定されていないので、すべてのパケットがキャプチャされる。必要なら変更できる。 　 解析結果の表示画面では［AND］のほかに［OR］や［NOT］などを使ってより複雑な条件を指定できるが、アドレス条件指定では［AND］のみが利用できる。

　MACアドレスやIPアドレスでキャプチャするパケットをフィルタするには、上記のダイアログで の［（アドレスの組み合わせ）］を選択してダブルクリックするか、右側にある［アドレス］ボタンをクリックする。すると次のようなダイアログが表示されるので、通信元（自分自身）と通信先を指定する。

キャプチャ・フィルタの設定例

特定のコンピュータとの通信をキャプチャするには、ステーション1をローカル・コンピュータに、ステーション2を通信先のコンピュータとしてフィルタを設定する。

ステーション1はローカル側のアドレス（もしくはブロードキャスト・アドレス）の指定。 　 これを選択する（これはIPアドレスであるが、同一ネットワーク上のコンピュータなら、MACアドレスで条件を設定してもよい）。 　 ステーション2には通信相手のアドレスを指定する。限定しない場合は「*ANY」を指定する。 　 このIPアドレスとの通信だけをキャプチャしてみる。 　 通信方向。「<-->」だと双方向の通信をキャプチャする。

　設定が終わると、次のようになっているはずである。この状態でキャプチャを開始すると、指定されたIPアドレスとの通信だけがキャプチャされる。なお念のために言っておくと、ルータを越えた場所にある（別ネットワーク上の）コンピュータとの通信の場合は、MACアドレスではフィルタリングできないので注意する。そのようなパケットでは、MACアドレス・フィールドはルータのMACアドレスになっているからだ。

設定されたキャプチャ・フィルタ

これはある特定の相手（IPアドレスで指定）との通信だけをキャプチャするフィルタの例。

設定された条件。

　

	関連記事（Windows Server Insider）
		Windows TIPS：ネットワーク・モニタでコンピュータ名を定義する
		Windows TIPS：netcapコマンドでネットワーク・パケットをキャプチャする
		［運用］Windowsネットワーク・プロトコルの理解と検証

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）