Microsoft Message Analyzerを使ってみた
なにこれ
Netmonの後継っぽい。詳しくは
http://blogs.technet.com/b/messageanalyzer/
のblogを読めばいろいろ書いてある。
使ってみた
Win7移行、.NET4以上が必要。
SplashもなんかOfficeっぽい。
起動するとこんな感じ
対応するOSのLocal Link Layerからキャプチャ開始できる。
キャプチャ画面自体はNetMonに近いけど、NetMonみたいにプロセスごとに別れていない。
でもこれはそのうち実装する予定らしい。
http://social.technet.microsoft.com/Forums/en-US/7dd4a840-2ce0-49ac-9fae-ec7f08c9884f/where-is-the-pidimage-name-info
現時点でもColomn ChooserからEtw.EtwProviderMsg.EventRecord.Header.ProcessId
でProcessID自体は見られるものの、うまく当たってない場合があるような気がする。(SystemのProcIDになってるもののどう考えてもSystemではない)
初めのキャプチャの種類については
http://technet.microsoft.com/en-us/library/jj659262.aspx
ここに色々書いてある。
注目点は
Trace ScenarioをFireWallにすると
Firewall Windows Filtering Platform Tracing. Can capture loopback and IPSEC unencrypted traffic.
とループバックが取れるようになる。
WinPcapはloopback取れないのでこれは便利。
Filter
Filterの処理が結構遅いのとか、Filter掛けてPacket選んでFilter解除すると選択も解除されたりするので
この辺りはまだ微妙。あとFirewallでCaptureしたあとにIPv4.address == 192.168.0.3と掛けると何も掛からなかったり謎なところはそこそこある。*Address==192.168.0.3とかすると掛かる。
その他
Packet選んだ時の表示がHex/ASCII/Binaryと選べてしかも無駄にサイズ調整できる辺りも楽しい。