NetResident Help Documentation
Transcription
NetResident Help Documentation
NetResident ® Hilfe-Dokumentation Copyright © 2006-2011 TamoSoft Einführung Über NetResident NetResident ist ein erweitertes Netzwerkinhaltsüberwachungsprogramm zur Überwachung, Speicherung, Analysierung und Rekonstruktion von Netzwerkereignissen, wie E-Mail-Nachrichten, Webseiten, heruntergeladene Dateien, Sofortnachrichten und Unterhaltungen. NetResident benutzt eine erweiterte Überwachungstechnologie zur Erfassung der erforderlichen Daten des Netzwerkes, speichert sie in eine Datenbank, rekonstruiert die Daten und zeigt den Inhalt in einem leichtverständlichen Format. Weil NetResident in vieler Hinsicht Netzwerkanalysern ähnelt, liegen seine Schwerpunkte auf höchsten Protokollebenen welche für den Datentansport über das Internet oder im LAN benutzt werden. Mit NetResident benötigen Sie kein tiefgründiges Wissen über Netzwerktechnologien, die Benutzung komplexer Paketüberwachungs- und Analysesoftware oder durchgraben von Netzwerkpaketanzeigen zur Rekonstruktion der aktellen Daten; NetResident erledigt alle diese Arbeiten für Sie und stellt nur die Webseiten, E-Mail’s, Sofortnachrichten oder heruntergeladenen Dateien, wie gewünscht dar. NetResident wird benutzt von Netzweradministratoren zur Durchführung von IT-Richtlinien, von Eltern um die Internetkommunikation ihrer Kinder zu überwachen und von kriminaltechnischen Experten zur Erringung entscheidender Informationen. Falls Sie einer der vielen Netzwerkfachleute sind der Tamosoft’s Netzwerküberwachungslösungen benutzt, CommView oder CommView for WiFi, dann wird NetResident die Logdateien Ihres Paketüberwachungsprogramms verabeiten und E-Mail-Nachrichten, Webseiten und andere Inhaltstypen für eine schnelle Analyse abrufen. Was ist neu? Version 1.9 • • • • • • Verbesserte ICQ-Unterstützung Verbesserte HTTP proxy-Unterstützung. Verbesserte SOCKS 4- und SOCKS 5-Unterstützung. AOL Mail, Mail.ru und Yandex.Pochta-Unterstützung wurde hinzugefügt. Aktualisierte Parser für Gmail, Hotmail und Yahoo-Mail zur Anpassung an die aktuellsten Änderungen dieser Dienste. Einige Fehlerbehebungen. Version 1.8 • • • • Viele Aktualisierungen von Protokoll-Parsern, die es ermöglichen, Sofortnachrichten und webbasierte E-mails durch Nutzung der aktuellsten Protokolle korrekt zu nutzen. Support von Anhängen in ausgehenden webbasierten E-Mail-Nachrichten. Ein aktualisierter Netzwerktreiber zur Leistungsverbesserung in schwerbeladenen LAN-Umgebungen. Einige andere Fehlerbehebungen und Interface-Verbesserungen. Version 1.7 • • • • • • • • • IPv6-Unterstützng Verbesserte Applikationsleistung auf multi-core-CPU-Computern Weitere Ereignisbenachrichtigungen wurden hinzugefügt Konfigurierbare real-time Verkehrsfilteroptionen für HTTP- und Mail-Protokolle wurden hinzugefügt Windows 7-Unterstützung Minimierung in die Systemablage wurde optional hinzugefügt Alte DAtenbankaufzeichnungen können archiviert werden Parser für Gmail und Yahoo!-Mail wurde aktualisiert um die aktuellen Änderungen dieser Dienste anzupassen Einige Fehlerbehebungen Version 1.6 • • • • • Unterstützung für webbasierte Mail-Systeme (Gmail, Hotmail, Yahoo!-Mail) Automatischer Import von Protokolldateien Verbessertes Ereignisverwaltung (Prioritätsebenen und Kommentare) Einstellbarer Pfad zur NetResident-Datenbank Einige Fehlerbehebungen Version 1.5 • • • Eine fortgeschritene Suche mit Alarmeinstellungen Leistungsverbesserung der Datenbank Einige Fehlerbehebungen. Version 1.4 • • • • • • Neue und verbesserte hochleistungs Datenbank Verbesserte VoIP-Unterstützung Verbesserte ICQ-Unterstützung Optionales PromiSwitch-Werkzeug zur Überwachung in gekoppelten Netzwerkumgebungen Neue Lizenztypen: Pro und Lite Einige Fehlerbehebungen Version 1.3 • • • • • Verbesserte VoIP-Unterstützung Fernverbindungen zu NetResident sind jetzt möglich Zusätzliche Ereignisdetails (Portnummern und Zeitmarken) Windows Vista-Unterstützung Einige Fehlerbehebungen Version 1.2 • • • • • Unterstützung des IRC-Protokolls (Internet Relay Chat) Unterstützung des Telnet-Protokolls Unterstützung für VoIP (Voice over IP) Datenbankim- und Export Einige Fehlerbehebungen Version 1.1 • • • • Unterstützung für die Yahoo- und Jabber-Sofortnachrichtenprotokolle Verbesserter Logimport der viele Überwachungsformate anderer Hersteller unterstützt Konfigurierbares Datenbankgrößenmanagement, das zum automatischen Löschen alter Ereignisse genutzt werden kann Einige Fehlerbehebungen Programmbenutzung Bevor Sie beginnen: Netzwerksichtbarkeit Der Schlüssel zur erfolgreichen Netzwerküberwachung ist die Sichtbarkeit des Netzwerkverkehrs. Wenn Sie nur einen Computer im Netzwerk überwachen müssen, dann ist dort keine Frage der Netzwerksichtbarkeit: Sie können einfach NetResident auf dem Computer installieren und laufen lassen. Allerdings wenn Sie mehrere Computer in einem LAN überwachen wollen, ist es wichtig, dass Sie verstehen, wie Sie die Netzwerksichtbarkeit erlangen, z.B. die Fähigkeit den Netzwerkverkehr anderer Stationen von einem einzelnen Beobachtungspunkt aus zu „sehen“. Kurzgefasst, um andere Computer in Ihrem LAN zu überwachen, müssen Sie NetResident auf einem Gateway-Computer installieren, einen Switch mit einer Portüberwachungsfunktion benutzen oder einen Hub verwenden. Dies sind viele mögliche Netzwerkanordnungen, so dass, falls Netzwerküberwachung für Sie neu ist, wir Ihnen empfehlen, dass detaillierte, illustrierte White-Paper von TamoSoft, Promiscuous Monitoring in Ethernet and Wi-Fi Networks (eine PDF-Version ist auch verfügbar) zu lesen. Ein optionales Hilfsmittel zur Überwachung switch-basierter Ethernet-Netzwerke ist verfügbar. Schauen Sie bitte für detaillierte Informationen in das Kapitel PromiSwitch Tool. Konfigurationsassistent Bevor Sie Ihr Netzwerk überwachen können, müssen Sie NetResident konfigurieren. Der Konfigurationsassistent wird Ihnen helfen, NetResident mit einigen Mausklicks zu konfigurieren. Wenn Sie den Assistent nicht beim ersten Programmstart starten, können Sie dies jederzeit durch Klicken auf Werkzeuge => Konfigurationsassistent ausführen. Klicken Sie im Begrüßungsfenster auf [Weiter] und gehen Sie zum Adapterauswahlfenster. Das Adapterauswahlfenster besitzt eine Drop-down-Liste, die es ermöglicht, das korrekte Netzwerkadapter zur Überwachung zu bestimmen. Falls Ihr Computer eine Modemverbindung besitzt oder mit dem LAN durch ein Ethernet-Adapter verbunden ist, werden Sie nur ein Adapter in der Liste finden. Wählen Sie dieses. Wenn Ihr Computer als Internet-Gateway für Ihr LAN fungiert oder mehr als ein Netzwerkadapter besitzt, müssen Sie den Adapter wählen, den NetResident überwachen soll. Einige Netzwerkadapter funktionieren nicht im Vermischten Modus. Falls Sie solch ein Adapter benutzen, überprüfen Sie bitte die Checkbox Nicht-vermischten Modus benutzen. Diese Option muss immer für drahtlose 802.11-Adapter gewählt werden. Für Modem- und VPN-Adapter wählen Sie bitte den WAN-Miniport-Adapter. Klicken Sie auf [Weiter] um zum Stationenauswahlfenster zu gelangen. Das Programm wird versuchen, die Arbeitplätze in Ihrem Netzwerk zu erkennen und eine Auflistung anbieten, die Sie überwachen können. Der einfachste Weg, diese Option zu konfigurieren ist es, die Optionsschaltfläche Alle Stationen überwachen auszuwählen. Dies ermöglicht NetResident die gesamten Netzwerkdaten zu sammeln. Sie können dieses Verhalten später ändern und festlegen, welche Stationen Sie überwachen möchten. Schauen Sie bitte für detaillierte Informationen in das Kapitel Überwachte Stationen. Klicken Sie auf den Button [Weiter] um zum Plugin-Auswahlfenster zu gelangen. NetResident verarbeitet den Netzwerkverkehr unter Benutzung von Protokollmodul-Plugins. Wenn Sie es nicht benötigen, übermittelte Daten über ein bestimmtes Netzwerkprotokoll einzusehen, können Sie das zugehörige Plugin abschalten, indem Sie die Checkbox neben dem Plugin-Namen deaktivieren. Schauen Sie bitte für detaillierte Informationen in das Kapitel Plugins. Das nächste Fenster ermöglicht die Konfiguration des Netzwerküberwachungsverhaltens des Programms. Wählen Sie Mit Windows starten, wenn Sie wünschen, dass das Programm die Netzwerküberwachung startet, sobald Windows hochgefahren wird oder wählen Sie die Option Wenn NetResident läuft, falls Sie möchten, dass das Netzwerkes nur überwacht wird, wenn NetResident läuft. Klicken Sie auf [Weiter] und im nächsten Fenster auf [Beenden] um die Konfigurationseinstellungen zu sichern. Bedienoberfläche NetResident kann die gegenwärtigen Informationen unter Benutzung von Anzeigen darstellen, die mit dem Menüelement Ereignisse => Anzeigen gewechselt werden können. Die Programmansicht kann variieren in Apphängigkeit von der gewählten Ansicht, aber grundsätzlich hat das Hauptfenster drei Sektionen, welche die Daten in einem strukturierten Format präsentieren, eine Filterung und Sortierung der Netzwerkereignisse und einen schnellen Zugriff ermöglichen. Hinweis: Abhängig von Ihren Sucheinstellungen kann das Programmhauptfenster verschiedene Register beinhalten: Das Register Alle Daten zeigt alle erfassten Informatonen und die zu Ihren Suchgruppe(n) zugehörigen Register. Die Datenstruktur innerhalb der Register wird weiter unten erklärt. Die Gruppenansicht zeigt Netzwerkereignisse gruppiert nach deren Erscheinungsdatum, Netzwerkprotokollen und Hosts die sich mit der Kommunikation beschäftigten. Aktivieren/Deaktivieren der Checkboxen neben den Gruppen wird die Ereignisse die zu den Gruppen gehören in/aus die/der Sektion Ereignisliste ein-/ausschließen. Die Hosts sind in Teilnehmer gruppiert welche die an der Kommunikation beteiligten Teilnehmer repräsentieren. Teilnehmer A beinhaltet alle IP-Adressen/Hostnamen auf der lokalen Kommunikationsseite. Wenn Sie nur eine Netzwerkkarte benutzen um sich mit dem Internet zu verbinden, werden Sie nur einen Eintrag unter diesem Teilnehmer haben. Jedoch, wenn Sie Ihr LAN-Adapter als Internetverbindungsmethode benutzen, aber gelegentlich auch Ihr Modem, oder wenn Sie eine IP-Adresse haben, die Ihrem Computer jedesmal dynamisch zugeteilt wird wenn Sie sich verbinden, werden Sie verschiedene Eintrage in diesem Teilnehmer haben. Teilnehmer B beinhaltet alle Fernhosts, die mit dem/den lokalen Host(s) kommuniziert haben. Schauen Sie bitte für detaillierte Informationen in das Kapitel Datenverwaltung. Die Exploreransicht ähnelt der Gruppenansicht, sie zeigt auschließlich Netzwerkereignisse nach Netzwerkprotokollen gruppiert. Wir empfehlen diese Ansicht, wenn Sie die Ereignisse der spezifizierten Protokolle sehen möchten., z.B. all ICQ-Nachrichten für die festgelegte Zeitspanne. Klicken Sie auf das Pluszeichen um Knoten aufzuklappen. Es ermöglicht Ihnen die gewünschten Ereignisse auszuwählen und anzusehen. Bitte beziehen Sie durch Anordnung der Daten mehr Information. Schauen Sie bitte für detaillierte Informationen in das Kapitel Datenverwaltung. Die Ereignisliste zeigt eine Liste der verfügbaren Ereignisse mit folgenden Spalten: Datum – Das Erscheinungsdatum des Ereignisses Protokoll – Das Protokoll der Datenübertragung Teilnehmer A, Teilnehmer B – Zeigt den Host der Daten gesendet und empfangen hat Port A, Port B - Die für die Datenübertragung benutzten Ports Letztes Update – Das Datum und die Zeit der letzten Ereignisaktualisierung Beschreibung – Zeigt die Ereignisauswertung ID – Ereignis-ID (standardmäßig unsichtbar) Priorität – Anwenderdefinierte Ereignispriorität (standardmäßig unsichtbar) Kommentar – Anwenderdefinierter Ereigniskommentar (standardmäßig unsichtbar) Flags – Ereignis-Flags (standardmäßig unsichtbar) Der Ereignisdetailbereich zeigt den aktuellen Inhalt des in der Ereignisliste gewählten Eintrags. Es kann immer nur ein Ereignis angezeigt werden. Das Hauptfenster besitzt ebenso einen Statusbereich zur Anzeige von Systemmeldungen, die durch das Programm erzeugt werden. NetResident besteht aus zwei Teilen: Der NetResident-Konsole welche die Verbindung zum NetResident-Dienst herstellt, die Daten verarbeitet, diese gruppiert und dem Anwender anzeigt und dem NetResident-Dienst, der das Netzwerk überwacht, Daten erfasst und diese in die Datenbank zur Verarbeitung und Anzeige speichert. NetResident benutzt Netzwerkprotokoll-Plugins zur Verarbeitung der gesammelten Daten. Sie können bestimmte Plugins aktivieren oder deaktivieren um sicherzustellen, dass Sie nur die gewünschten Daten angezeigt bekommen. Hauptmenü Datei Verbinden Stellt eine Verbindung zum NetResident-Dienst her Trennen Trennt die Verbindung zum NetResident-Dienst Datenbank verwalten Startet den Datenbankverwaltungsassistenten Logs importieren Startet den Logimportassistenten Beenden Beendet das Programm Suchen Finden Sucht die Ereignisse einer spezifizierten Zeichenkette Erneut finden Wiederholt die Suche Neue Suchgruppe Startet den Suchgruppenassisten Suchgruppe löschen Löscht die gegenwärtig aktive Suchgruppe Suchgruppe bearbeiten Bearbeitet die gegenwärtig aktive Suchgruppe Ansicht Statusfenster Statusfenster ein-/ausblenden Statusleiste Statusleiste ein-/ausblenden Ereignisse Aktualisierung/ Aktualisierung stoppen Aktualisiert alle Ereignisse/stoppt den Aktualisierungsprozess Filter Ermöglicht Ereignisfilter zu setzen Speichern Speichert die aktuelle Ereignisliste oder Ereignisdetails in eine Datei Löschen Löscht ausgewählte Ereignisse aus der Datenbank Ereignisdetail Ereignisdetailbereich ein-/ausblenden Ansichten Wechselt die Hauptfensteransichten Host-Anzeigemodus Wechselt den Anzeigemodus der Hosts in der Gruppenansicht und im Ereignislistenbereich Werkzeuge Kennnamen Blendet den Kennnamendialog ein Einstellungen Blendet den Einstellungsdialog ein Einrichtungsassistent Startet den Einrichtungsassistenten Anti-Switch Werkzeug Startet das PromiSwitch-Programm Sprachen Ermöglicht eine Sprache für die Bedienoberfläche zu wählen Hilfe Inhalt Startet die NetResident-Hilfe Hilfeindex... Blendet den Hilfeindex ein Nach Updates im Web suchen... Auf der TamoSoft-Webseite nach Programmaktualisierungen suchen Info Blendet das Programminformationsfenster ein Datenverwaltung NetResident ist eine mächtige Netzwerküberwachungsanwendung die ein detailliertes Abbild der Anwendernetzwerkaktivitäten darstellt. In einem verkehrrsreichen Netzwerk können Sie hunderte oder tausende von Netzwerkereignissen, wie E-Mail-Nachrichten, Webseiten, Sofortnachrichten, usw. sehen. Es ist unbedingt notwendig die gesuchten Ereignisdaten anzuordnen wenn Sie NetResident benutzen. Wir haben verschiedene Filtermöglichkeiten eingebaut, die es Ihnen ermöglichen nur die für Sie interessanten Daten anzuzeigen. NetResident besitzt Explorer- und Gruppenansichten welche die Netzwerkereignisse auf verschiedene Arten gruppieren. Wir empfehlen Ihnen, sich beide Ansichten anzusehen und die für Sie beste Ansicht auszuwählen. Der Gruppenansichtsbereich auf der linken Seite des Programmhauptfensters ermöglicht es die Netzwerkereignisse nach Datum, Kommunikationsteilnehmern oder Netzwerk-Host zu filtern. • Datum – Aktivieren Sie die Checkbox neben dem Datum der Netzwerkereignisse die Sie interessieren. Ereignisse mit anderem Erscheinungsdatum werden ignoriert und werden nicht im Ereignisansichtsbereich angezeigt. Bitte beachten Sie, dass das deaktivieren der Checkboxen im Gruppenansichtsbereich die Daten nicht aus der Datenbank löscht. Sie können den Gruppenansichtsbereich zur Anzeige anderer protokollierter Ereignisse erneut konfigurieren. • Protokolle – Aktivieren Sie die Checkbox der Protokolle die Ihnen angezeigt werden sollen. Wenn Sie zum Beispiel E-MailNachrichten ansehen möchten, wählen Sie bitte das Mail-Protokoll. • Teilnehmer A / Teilnehmer B – Ermöglicht es, die Netzwerkereignisse nach Teilnehmern der Netzwerkkommunikation zu filtern. Sie finden präzise Netzwerk-Host-Angaben unter Teilnehmer A oder Teilnehmer B. Aktivieren oder deaktivieren Sie die Checkbox neben den Teilnehmern um die Netzwerkereignisse dieser Hosts zu überwachen. Beachten Sie bitte, dass Sie Filter kombinieren können: Beispielsweise, wenn Sie nur heruntergeladene Webseiten eines einzelnen Servers an einem bestimmten Tag ansehen möchten, wählen Sie bitte das Datum im Datumsbereich, Web im Protokollbereich und bestimmen Sie den Host im Bereich Teilnehmer B. Alle anderen Ereignisse, die diesen Kriterien nicht entsprechen werden ignoriert. Ein flexibeler Datumsfilter ist unter Ereignisse => Filtermenü oder durch Klicken auf den Button Filterwerkzeugleiste verfügbar. Sie können hier eine vordefinierte Zeitspanne definieren: • • • • Heute – Zeigt alle heute aufgetretenen Netzwerkereignisse Letzten Zwei Tage – Zeigt alle Netzwerkereignisse, die während der letzten zwei Tage auftraten Letzte Woche - Zeigt alle Netzwerkereignisse, die während der letzten Woche auftraten Letzter Monat - Zeigt alle Netzwerkereignisse, die während des letzten Monats auftraten Die Auswahl von Alle Tage aus dem Menü, veranlasst das Programm alle Ereignisse der gesamten Überwachungsperiode anzuzeigen. Sie können ebenso den Datumsbereich unter dem Menüpunkt Einstellbare Periode durch Auswahl von Von und Bis in der zugehörigen Drop-Down-Liste festlegen. Mehr erweiterte Filteroptionen sind unter dem Menüpunkt Ereignisse => Filter => Fortgeschrittene verfügbar. Sie können die Ereignisse nach Netzwerkprotokollen oder Stationen filtern. Die Plugin-Seite zeigt alle derzeitig installierten Plugins an. Aktivierte Plugins besitzen eine angekreuzte Checkbox neben ihrem Namen. Wenn Sie nur einzelne Plugins benötigen (für den Fall, dass Sie nur Webseiten oder E-Mail einsehen wollen), schalten Sie unötige Plugins ab, in dem Sie die zugehörigen Checkboxen deaktivieren. Wenn das ausgewählte Plugin zusätzlich Ebenenfilterung unterstützt, können Sie diesen Filter wechseln, in dem Sie auf den Button [Wechseln] in der zugehörigen Spalte klicken. Bitte schauen Sie für detailierte Plugin-Beschreibungen in das Kapitel Plugins. NetResident ermöglicht Ihnen die empfangenen Daten nur von ausgewählten Stationen (Computern, Routern oder anderen im LAN angeschlossenen Geräten) anzuzeigen. In diesem Fall, wird Ihnen NetResident nur den Datenfluss zwischen den in der Tabelle (Bereich: Stationen) aufgeführten Computern anzeigen. Sie können andere Stationen hinzufügen, in dem Sie auf Nur Stationen aus der Liste unten anzeigen auswählen, auf den Button [Hinzufügen] klicken und die IP-Adresse, den IP-Bereich oder die MAC-Adresse der Station eingeben. Wenn Sie vorher Kennnamen zu Hosts zugewiesen haben, können sie auf den Button [Kennnamen auswählen] klicken und wählen dann eine Station aus der Liste der Kennnamen. Sie können auch eine optionale Beschreibung für jede hinzugefügte Station eingeben. Zum Editieren einer Station, wählen Sie diese aus und klicken auf den Button [Bearbeiten]. Zum Löschen einer Station aus der Liste wählen Sie diese aus und klicken auf den Button [Löschen]. Klicken auf [OK] speichert die Filtereinstellungen oder klicken Sie auf [Abbrechen] um die Einstellungen zu verwerfen. Wenn Sie die Filter temporär abschalten möchten ohne die Filtereinstellungen zu verwerfen, deaktivieren Sie die Checkbox Filter einschalten. Wichtig: Die Filtereinstellungen haben nur Auswirkungen auf die im Programmhauptfenster dargestellten Daten. Die Filtereinstellungen ändern nicht die Datenerfassung oder das Speicherverhalten des Programms. Einstellungen zur Datenerfassung werden im Kapitel NetResident-Konfiguration und Datenspeicherungsoptionen im Kapitel Datenbank-Management in diesem Handbuch beschrieben. Der Explorer-Ansichtsbereich auf der linken Seite des Programmhauptfensters ermöglicht Ihnen Netzwerkereignisse nach Netzwerkprotokollen zu filtern. Klappen Sie den gewünschten Knoten auf, in dem Sie auf das Zeichen [+] links vom Knoten klicken. Wenn Sie Webseiten sehen möchten, klappen Sie den Knoten Webseiten auf. Der aufgklappte Knoten ermöglicht Ihnen, die Netzwerkereignisse des spezifizierten Protokolls nach Datum gruppiert einzusehen. Möchten Sie Netzwerkereignisse eines bestimmten Tages sehen, wählen Sie die gewünschte Gruppe auf der linken Seite und schauen sich dann die Netzwerkereignisse auf der rechten Seite an. Die Explorer-Ansicht ist ähnlich der Gruppenansicht, außer dass es Netzwerkereignisse gruppiert. Netzwerkereignisse durchsuchen NetResident zeigt den Datenaustausch des Netzwerkes in Form von Netzwerkereignissen. Beispiele für Ereignisse sind eine E-MailNachricht, eine via FTP heruntergeladene Datei, eine heruntergeladene Webseite oder eine ICQ-Sofortnachricht. Nachdem Sie die Datenfiltereinstellungen konfiguriert haben, zeigt der Bereich Ereignisliste die rohe Ereignisliste, welche NetResident aus der Datenbank ausgefiltert hat. Jede Reihe in der Ereignisliste repräsentiert ein Netzwerkereignis. Die Tabelle beinhaltet die folgenden Spalten: • Datum – Datum und Uhrzeit des Ereignisbeginns. • Letzte Aktualisierung – Datum und Uhrzeit letzten Ereignisaktualisierung. • Protokoll – Das für die Datenübertragung benutzte Netzwerkprotokoll. Die Namen, der für die Verarbeitung der jeweiligen Ereignisse zuständigen Protokolle und Plugin-Module. • Teilnehmer A / Teilnehmer B – Sendende und empfangende Teilnehmer des Netzwerkdatenaustauschs. Ein Beispiel für Teilnehmer kann ein Computer sein, der eine Webseite heruntergeladen hat und der Webserver, welcher die Webseite betreibt oder ein Computer erhält E-Mails und der Mailserver, welcher die Mailbox betreibt. • Port A / Port B – Die benutzen Ports der Datenübertragung. • Beschreibung – Eine kurze Beschreibung des Netzwerkereignisses, welche die Größe des übertragenen Objektes beinhaltet. • ID – Ereignis-ID (standardmäßig unsichtbar) • Priorität – Anwenderdefinierte Ereignispriorität (standardmäßig unsichtbar) • Kommentar – Anwenderdefinierter Ereigniskommentar (standardmäßig unsichtbar) • Flags – Ereignis-Flags (standardmäßig unsichtbar) Die in einer Verbindung mitwirkenden Teilnehmer A und Teilnehmer B können mit ihrer IP- oder MAC-Adresse oder über die mit der Host-Adresse verbundene IP-Adresse des Teilnehmers angezeigt werden. Die Anzeigeeinstellungen können im Menü Ereignisse => Hosts-Anzeigemodus konfiguriert werden. Sie können IP- oder MAC-Adressen mit leichtzumerkenden, visuell lesbaren Namen (Kennnamen) austauschen. Rechtsklicken Sie auf ein Netzwerkereignis und wählen die Adresse aus dem Kontextmenü um einen Kennnamen für den Host des Teilnehmers A oder des Teilnehmers B zu erstellen oder um die Kennnamenliste zu öffnen. Speichern Sie die Ereignisliste in eine HTML-Datei durch Auswahl von Ereignisse => Liste speicher... oder klicken Sie auf den zugehörigen Button in der Werkzeugleiste. Um ein Netzwerkereignis im Bereich Ereignisdetails anzusehen, klicken Sie auf die Ereignisreihe in der Ereignisliste. Zum Ausblenden des Bereichs Ereignisdetails, rechtsklicken Sie auf ein Ereignis und wählen Sie aus dem Kontextmenü Ereignisdetails. Wichtig : Einige Spalten können in der Explorer-Ansicht ausgeblendet sein (ist abhängig von der gewählten Aufzeichnungsgruppe). Für den Fall, dass das festgelegte Protokoll ausgewählt ist, wird die zugehörige Spalte mit dem Protokollnamen ausgeblendet. Ereignisdetails ansehen Der Bereich Ereignisdetails des Hauptfensters zeigt das rekonstruierte Netzwerkereignis. Zur Anzeige des Bereichs Ereignisdetails, klicken Sie auf Ereignisse => Ereignisdetails oder rechtsklicken Sie auf ein Netzwerkereignis im Bereich Ereignisansicht und wählen Sie Ereignisdetails aus dem Kontextmenü. Alternativ können Sie auf den zugehörigen Button in der Werkzeugleiste klicken, um den Bereich Ereignisdetails einzublenden. NetResident’s Protokoll-Plugin’s verarbeiten die Daten und rekonstruieren die ganze Webseite, E-Mail-Nachricht, Sofortnachrichtensitzung, usw. Sobald ein Netzwerkereignis im Bereich Ereignisansicht des Hauptfensters gewählt ist, wird NetResident die Datenbank abfragen, die Ereignisdetails rekonstruieren und das Ergebnis im Bereich Ereignisdetails einblenden. Dazu zeigt sich das Ereignis selbst, das Programm zeigt nützliche Serviceinformationen über das Ereignis, wie HTTP-Dateiköpfe für Webseiten, E-Mail-Nachrichtenköpfe für EMail-Nachrichten und FTP-Sitzungsprotokolle für FTP-Datenübertragungssitzungen. Der Bereich Ereignisansicht besitzt eine Werkzeugleiste und ein Menü welche unterschiedliche Optionen anbieten (abhängig vom Typ des gewählten Ereignisses). Sie können den Bereich Ereignisansicht im Programmhauptfenster durch Ziehen bewegen und an einem beliebigen Platz anordnen. Um den Bereich zurückzusetzen, ziehen Sie den Bereich über das Hauptfenster, bis es sich selbst an eine Seite des Fensters andockt. Um das automatische Andocken abzuschalten, rechtsklicken Sie auf den Fensterkopf und deaktivieren die Checkbox Automatisches Andocken. Das Menü des Bereichs Ereignisdetails bietet folgende Auswahlmöglichkeiten: Interface-Einstellungen – Ermöglicht Schrifteinstellungen für die angezeigten Ereignisse vorzunehmen Kopieren – Kopiert die ausgewählten Daten in die Zwischenablage Alle auswählen - Wählt alle dem Netzwerkereignis zugeordneten Daten Zusätzlich zu den allgemeinen Auswahlmöglichkeiten wie oben erwähnt, bietet jedes NetResident-Plugin plugin-spezifische Auswahlmöglichkeiten (abhängig vom Netzwerkereignistyp), welche Sie in diesem Menü sehen können. Beispielsweise, die Option Login/Password anzeigen, die das für E-Mail-Sitzungen nötige Login und Passwort anzeigt (nur für eingehende E-Mails); die Option Köpfe anzeigen die HTTP-Sitzungsköpfe anzeigt (nur für Webseiten), usw. NetResident konfigurieren Die Einstellungen für NetResident sind im Menü Werkzeuge => Einstellungen verfügbar.Wenn Sie ein Neuling sind oder sich nicht mit Netzwerken auskennen, empfehlen wir Ihnen den Einstellungsassistenten zu starten um Sie durch den Konfigurationsvorgang zu führen. Das Einstellungsfenster ermöglicht Ihnen, NetResident für Ihren Gebrauch einzustellen. Wählen Sie eine Kategorie aus dem Menü auf der linken Fensterseite um die Optionen für jeden Menüpunkt einzustellen. Interface: Allgemein Ermöglicht die Schrifteinstellung für die Bedienoberfläche und die Einstellung des Aktualisierungsmodus. Wenn Sie bevorzugen, dass NetResident im Hintergrund läuft, können Sie NetResident so konfigurieren, dass es minimiert ausgeführt wird, wenn Sie die Checkbox Icon in der Systemablage anzeigen aktivieren. Zusätzlich können Sie die Option Bei Minimierung in der Taskbar ausblenden aktivieren, wenn die Applikation bei Minimierung in der Taskbar ausgeblendet werden soll. Bitte aktivieren Sie die Checkbox Automatische Aktualisierung einschalten um die Funktion für die Programmaktualisierung einzuschalten. Ebenso können Sie den Intervall bestimmen, in dem NetResident nach Programmaktualisierung sucht: Geben Sie den gewünschten Intervall in das Feld Intervall zwischen den Überprüfungen, (Tage) ein. Klicken auf den Button [Jetzt prüfen] veranlasst NetResident direkt nach Programmupdates zu suchen. Netzwork: Inbetriebnahme Ermöglicht die Netzwerküberwachungsfunktion zu konfigurieren, die durch den NetResident-Dienst ausgeführt wird. Falls Sie Ihr Netzwerk ständig überwachen möchten, wählen Sie bitte die Option Mit Windows starten. Wenn dieser Radio Button ausgewählt wurde, wird NetResident nach dem Hochfahren von Windows gestartet und beginnt mit der Netzwerküberwachung. Sie können NetResident jederzeit aufrufen und die Überwachungsergebnisse einsehen. Falls Sie NetResident periodisch einsetzen und Ihr Netzwerk nicht permanent überwachen möchten, empfehlen wir die Option Nach NetResident-Start auszuwählen. Das ermöglicht Ihnen, Festplattenplatz zu sparen und reduziert die CPU-Belastung. Bei der Auswahl dieser Option, startet der NetResident-Dienst gemeinsam mit der NetResident-Applikation und beginnt die Netzwerküberwachung. Das Sammeln der Netzwerkdaten wird eingestellt sobald Sie die Applikation schließen. Netzwerk: Ziele Die Option des Menü Ziele besitzt eine Drop-Down-Liste die eine Bestimmung des korrekten Netzwerkadapers für die Netzwerküberwachung ermöglicht. Falls Ihr Computer eine Modemverbindung hat oder mittels einer Ethernetkarte mit dem LAN verbunden ist, werden Sie nur ein Adapter in der Liste finden; wählen Sie dieses. Wenn Ihr Computer als Internet-Gateway für das LAN fungiert oder mehr als ein Netzwerkadapter besitzt, müssen Sie das Adapter auswählen, welches Sie mit NetResident überwachen möchten. Manche Netzwerkadapter können nicht im vermischten Modus arbeiten; wenn Sie solch ein Adapter benutzen, aktivieren Sie bitte die Checkbox Kein vermischter Modus. Die Option muss immer für drahtlose Adapter gewählt werden. Für Modem- und VPNAdapter wählen Sie den WAN Miniport Adapter. Um die Netzwerkdaten aller Computer des Netzwerkes zu analysieren, aktivieren Sie die Option Alle Stationen überwachen. Wenn Sie in einem verkehrsreichen Netzwerk sind, kann der Stationsbereich begrenzt werden. Klicken Sie auf den Button [Erweitert] und wählen den Optionsschalter Überwachung der aufgelisteten Stationen. Aktivieren Sie die Checkboxen neben den ausgewählten Stationen. Falls der Button [Erweitert] ausgegraut ist, deaktivieren Sie die Option Überwachung aller Stationen und der Button wird dann zur Verfügung stehen. Überwachte Stationen Sie können neue Stationen durch klicken auf den Button [Hinzufügen] und Eingabe der IP- oder MAC-Adresse oder eines Berichs von IP-Adressen hinzufügen. Das Feld Beschreibung kann zur Eingabe von Informationen über die hinzugefügte Station benutzt werden. Dieses Feld ist nicht verbindlich. Klicken Sie auf [OK] um die Einstellungen zu sichern oder auf [Abbrechen] um die Änderungen zu verwerfen. Benutzen Sie die Buttons [Bearbeiten] und [Löschen] zur Änderung oder Entfernung von Stationen auf der Liste. Wenn Sie temporär die Überwachung einer bestimmten Station abschalten möchten, ohne diese aus der Liste zu entfernen, deaktivieren Sie die Checkbox neben dem Namen der Station. Sie können ebenso aktive Stationen durch klicken auf den Button [Aktive auswählen] hinzufügen und die durch NetResident erkannten Stationen überprüfen. Wählen Sie die gewünschten Adressen durch aktivieren der zugehörigen Checkbox und klicken Sie auf [OK]. Die ausgewählten Adressen werden der Stationsliste zur Überwachung hinzugefügt. Beachten Sie bitte, dass die Stationsliste unvollständig sein kann, weil einige Stationen nicht eingeschaltet sind oder sich ihre Adressen geändert haben. Es können auch einige Stationen hinter Firewalls versteckt sein. Benutzen Sie diese Liste ausschließlich als Referenz. Wenn Sie unsicher sind, welche Stationen Sie auswählen sollen, sollten Sie die MAC- oder IP-Adressen zur Identfizierung der überwachten Stationen benutzen, schauen Sie auch in das Kapitel Häufig gestellte Fragen (FAQ). . Netzwerk: Plugins Diese Seite zeigt eine Auflistung der gegenwärtig installierten und durch NetResident benutzten PlugIns. Wenn Sie einige der Plugins nicht benötigen, empfehlen wir Ihnen diese durch Deaktivierung der entsprechenden Checkbox abzuschalten um die CPU-Belastung und Festplattenausnutzung zu reduzieren. Sie können die interne Plugin-Filter zur Bestimmung zusätzlicher Filterkriterien benutzen, die dazu führen, die Anzahl der erfassten Ereignisse zu reduzieren (und, natürlich, die Festplattenauslastung). Zur Änderung der Filtereinstellungen, klicken Sie auf den Button [Ändern] des jeweiligen Plugins. Mehr detaillierte Informationen finden Sie im Kapitel Plugins dieses Handbuchs. Hinweis: Nur Web- und Mail-Plugins besitzen gegenwärtig Plugin-Filter. Netzwerk: Ports Diese Seite ermöglicht die Portnummerneinstellung der durch NetResident für die Verkehrsüberwachung überwachten Ports. Standardmäßig ist der NetResident–Dienst zur Überwachung des Verkehrs auf allen Ports (1-65535) eingestellt. Dieses gewährleistet, dass alle möglichen Netzwerkdaten abgefangen werden. Allerdings wird erhebliche CPU-Zeit für die Verabeitung aller abgefangenen Netzwerkpakete (ebenso unerwünschter Pakete) benötigt. Wenn Sie leistungsbezogene Probleme feststellen, versuchen Sie die Anzahl der zum Abfangen benutzten Ports zu reduzieren. Beispielsweise, wenn Sie Verkehr in einem lokalen Netzwerk überwachen, auf dem der meiste Verkehr durch Dateiübertragungen mittels Microsoft Windows von einem Computer auf einen Anderen stattfindet, können Sie diesen Verkehr durch Eingabe der folgenden Zeile ausschließen: 139,445 Die Zeile oben schaltet die Überwachung der Ports 139 und 445 ab. Falls Sie nicht wissen, welche Ports keine leistungsbezogenen Schwierigkeiten beim Lauf von NetResident verursachen, verändern Sie bitte keine Werte auf dieser Seite. Sie können einen oder mehrere Ports durch Kommas getrennt oder einen Portbereich festlegen. Beachten Sie bitte, dass ein Portausschluss auf Ursprungs- und Ziel-Port wirkt. Netzwerk: Fernverbindungen Diese Seite erlaubt Ihnen Fernverbindungen zum NetResident-Dienst herzustellen. Schauen Sie bitte für detaillierte Informationen in das Kapitel Fernverbindungen zum NetResident-Dienst. Netzwerk: Erweitert Diese Seite ermöglicht die Konfiguration des Programmprotokollverhaltens (Loggnig). Die Option Serviceprotokoll einschalten ist standardmäßig eingeschaltet und die Protokollierung ist auf keine Protokollierung eingestellt. Falls Sie Probleme mit NetResident feststellen, kann das TamoSoft-Support-Team Sie bitten, die Service-Protokollebene zu ändern, wenn zusätzliche Informationen erforderlich sind. NetResident-Servicenachrichten werden in die Datei DebugCWS.log im Installationsverzeichnis geschrieben und das TamoSoft-Support-Team kann Sie bitten, diese Datei per E-Mail zu schicken. Beachten Sie bitte, dass die Protokolldatei beachtliche Größe erreichen kann, wenn die Option Wortreich angewählt ist. Zippen Sie die Protokolldatei bevor Sie diese an den Kundenservice schicken. Die auf dieser Seite verfügbare Option Automatischer Import ist für das automatische Importieren der Protokolldateien mit erfasstem Netzwerkverkehr vorgesehen. Zum Einschalten dieser Option, aktivieren Sie die Checkbox Automatischen Import aktivieren und wählen das Verzeichnis mit den erforderlichen Protokolldateien. Hinweis: Das Verzeichnis mit den zu importierenden Protokolldateien muss sich auf einem lokalen Laufwerk befinden, z.B. es muss sich auf dem Computer befinden, auf dem der NetResident-Dienst arbeitet. Datenbank: Allgemein NetResident besitzt einen eigene Datenbank, die alle erfassten und analysierten Informationen beinhaltet. Die Datenbankdateien befinden sich standardmäßig im Installationsverzeichnis der Applikation. Diese Seite ermöglicht Ihnen den Datenbankstandort, wenn nötig zu wechseln. Wählen Sie das gewünschte Verzeichnis des neuen Datenbankstandortes aus und klicken Sie auf den Button [Übernehmen]. Datenbank: Entwicklung Weil die Datenbank Aufzeichnungen aller von NetResident erfassten Ereignisse beinhaltet, wächst diese mit der Zeit. Um die Belegung von Speicherraum dieser Aufzeichnungen zu reduzieren, verringern Sie bitte die Programmleistung. Sie können den Datenbankgrößenbegrenzungsmodus einschalten, in dem Sie die Checkbox Datenbankgröße begrenzen. Das Feld Ereignisse löschen, älter als beinhaltet die Anzahl der Tage, an denen von NetResident Aufzeichnungen gesammelt werden. Ältere Aufzeichnungen werden automatisch gelöscht. Alternativ können Sie ältere Aufzeichnungen auch archivieren, anstatt sie zu löschen. Um Ihre Aufzeichnungen zu archivieren, aktivieren Sie die Checkbox Erstelle Archivkopien in und legen Sie den Pfad fest, wo Ihre Aufzeichnungen gespeichert werden sollen. Benutzen Sie den Datenbankverwaltungsassistenten wenn Sie gespeicherte Archivaufzeichnungen rückspeichern möchten. Sie können Ihre Datenbank jederzeit automatisch bei Beendigung des Programms leeren, wenn Sie die Checkbox Datenbank bei Programmende leeren aktivieren. Erweiterte Suche Manchmal ist es erforderlich, die Analyse erfasster Daten zu vereinfachen, dies ist der Punkt, an dem Sie die erweiterte Suche von NetResident für brauchbar finden können. Die erweiterte Suche ermöglicht die Auswahl von Aufzeichnungen über interne Ereignisdaten, die für jedes NetResident-Plugin spezifisch sind. Zwei Datentypen werden bei dieser Suche benutzt: Suchziel und Suchgruppe. Das Suchziel ist ein einfaches Suchkriterium, dass von NetResident bei der Datenbankverarbeitung benutzt wird. Dies kann ein Schlüsselwort in einem HTML-text, einer E-Mail, URL-Adresse … sein. Suchzieloptionen variieren bei jedem NetResident-Plugin. Die Suchgruppe beinhaltet ein oder mehrere Suchziele, was eine Kombination verschiedener Suchkriterien ermöglicht. Klicken Sie auf Suche => Neue Suchgruppe um eine neue Suchgruppe zu erstellen. Der Sucheinstellungsassistent helfen, mit wenigen Mausklicks einen neuen Suchfilter zu erstellen. Klicken Sie auf [Weiter] im Startbildschirm fahren Sie mit dem Suchgruppeneinstellungsbildschirm fort. Zur Erstellung einer Gruppe müssen Sie einen einzigartigen Namen festlegen, wählen Sie [Suchgruppenlogik] und wählen Sie Suchziele für die Suchgruppe aus. Bitte beachten Sie, dass den Suchgruppenname eingegeben haben, bevor alle anderen Optionen verfügbar werden. Klicken Sie auf [Neues Suchziel] zur Erstellung eines neuen Suchziels und klicken Sie im Startbildschirm auf [Weiter]. Wählen Sie einen Suchzielnamen, wählen Sie ein Plugin, das zur Suche benutzt werden soll und dessen Wert. Tip: Es ist möglich verschiedene Werte gleichzeitig kommagetrennt einzugeben. Die folgenden Optionen sind ebenso verfügbar: Groß- und Kleinschreibung beachten – wenn diese Option gewählt wird, müssen die Ergebnisse Groß- und Kleinbuchstaben in exakt der gleichen Weise enthalten, wie der im Feld Wert eingegebene Text. Ganzes Wort – wird diese Option angewählt, dann werden Teilzeichenketten ignoriert, z.B. "sensibel" wird nicht länger mit "unsensibel" übereinstimmen. Für zukünftige Ereignisse übernehmen – wenn diese Option auswählen, wird die Suche nur auf neue Aufzeichnungen angewandt. Andernfalls werden alle Aufzeichnungen in der Datenbank verarbeitet. Hinweis: Jedes Suchziel erfordert eine zusätzliche Datenbankverarbeitung, versuchen Sie deshalb die Anzahl der Suchziele zu begrenzen um Zeit- / Ressourcenverluste zu reduzieren. In anderen Worten, löschen Sie unnötige Suchziele, weil eine große Anzahl von Suchzielen den Zeit- /Ressourcenkonsum vergrößert. Jetzt klicken Sie auf [Weiter] und dann auf den Button [Beenden] um den Suchzielassistenten zu verlassen. Wählen Sie die gewünschten Suchziele aus, indem Sie diese aus der Liste Verfügbare Suchziele auf die Liste Ausgewählte Suchziele ziehen. Klicken Sie auf [Weiter] zur Auswahl des gewünschten Benachrichtigungstyps. Das Fenster Suchgruppenbenachrichtungsauswahl ermöglicht Ihnen eine Aktionsauswahl festzulegen, die ausgeführt werden soll, wenn der Suchgruppeninhalt mit den Suchkriterien übereinstimmt. Die folgenden Aktionen sind verfügbar: • Keine: Eine Benachrichtigung wird nicht ausgeführt. • Piepton: Der Comouter gibt ein akustisches Signal ab. • Datei abspielen: Spielt die angegebene WAV-Datei ab. • E-Mail senden an: Sendet eine E-Mail an die eingegebene E-Mailadresse. Bevor Sie E-Mails senden MÜSSEN Sie NetResident zur Benutzng Ihres SMTP-Server konfigurieren. Benutzen Sie den Button E-Maileinstellungen um Ihre SMTP-ServerEinstellungen einzugeben. Natürlich kann eine E-Mailnachricht auch benutzt werden, um eine Alarmmeldung an Ihr Sofortnachrichten-Programm, Handy oder Funkrufempfänger zu senden. Um z. B. eine Nachricht an einen ICQ-User zu senden, geben Sie die E-Mail-Adresse als [email protected] ein, wobei ICQ_USER_UIN die eindeutige ICQIdentifikationsnummer ist. Dazu müssen die EmailExpress Messages in den ICQ-Optionen aktiviert sein. Für weiterführende Informationen schauen Sie bitte in die Dokumentation Ihres Sofortnachrichten-Programms oder Handyanbieters. Das Feld EMailnachrichtentext kann zum Hinzufügen einer beliebigen Nachricht zu der E-Mailbenachrichtung benutzt werden. • Nachricht anzeigen: Blendet eine Benachrichtigung mit dem vorgegebenen Text ein. • Priorität einstellen: Legt die Priorität des Ereignisse fest. • Kommentar hinzufügen: Fügt dem Ereignis einen Kommentar hinzu. • Nachricht sprechen: Lässt Windows, unter Benutzung der Text-to-speech engine, die Nachricht sprechen. Standardmäßig kommt Windows nur mit englischen Computerstimmen, sodass Windows nicht in der Lage ist, Nachrichtentext in anderen Sprachen als englisch korrekt auszusprechen. • Mit Syslog schreiben: Sendet die Nachricht zu der spezifiziertenIP-Adresse unter Benutzung des Syslog-Protokolls. • SNMP-Fall senden: Sendet die Nachricht zur spezifizierten IP-Addresse unter Benutzung des SNMP-Protokolls. Die MIB-Datei beinhaltet OID-Beschreibungen, die auf Anfrage verfügbar sind. • Applikation starten: Starte die angegebene Applikation (zusätzlich Befehlszeilenparameter werden unterstützt). Falls Sie einige der Aktionen temporär abschalten möchten, deaktivieren Sie die entsprechenden Checkboxen. Hinweis: Die Optionen Piepton, Datei abspielen, Nachricht sprechen, Applikation starten und Nachricht anzeigen, arbeiten nur wenn NetResident aktiviert ist. Wählen Sie den gewünschten Benachrichtgungstyp und klicken Sie auf [Weiter]. Die gerade erstellte Suchgruppe wird in der Datenbank registriert und das zugehörige Register wird im Programmhauptfenster verfügbar. Alle Aufzeichnungen die mit dem(n) Suchziel(en) übereinstimmen werden indiesem Register angezeigt. Für den Fall, dass Sie eine Suchgruppe überarbeiten oder löschen möchten, benutzen Sie bitte die zugehörigen Elemente im Menü Suche von NetResident. Kennnamen Kennnamen sind leichtzumerkende, visuell-lesbare Namen, welche MAC- oder IP-Adressen ersetzen, die in der Gruppen- und Ereignisansicht im Programmhauptfenster angezeigt werden. Diese können die Wiedererkennung und Analyse von Netzwerkereignissen erleichtern. Sobald ein Kennname zu einer IP- oder MAC-Adresse zugeordnet ist, ersetze er die zugehörige Adresse in der Gruppen- und Ereignisansicht des Hauptfensters. Sie können auswählen, wie die an der Kommunikation beteiligten Hosts angezeigt werden: als IPAdresse, als MAC-Adresse oder mit Host-Kennnamen. Die Konfiguration der Hostanzeige wird im Menü Ereignisse => HostAnzeigemodus durchgeführt. Das Programm ist imstande IP-Adressen in Host-Namen aufzulösen. Aktivieren Sie Numerische IP-Adressen in Host-Namen auflösen im Menü Ereignisse => Host-Anzeigemodus um die IP-Adressen-Auflösung einzuschalten. Ein Kennname kann auch einem Bereich von IP-Adressen zugeordnet werden. Dies ist sehr bequem, weil es Ihnen ermöglicht, einen Namen für eine Gruppe von Netzwerkgeräten einzusetzen – beispielsweise alle Computer in einem LAN. Jeder Kennname ist einzigartig. Dennoch können Sie den selben Kennnamen zu verschiedenen MAC- oder IP-Adressen zuordnen, dadurch erzeugen Sie eine Gruppe. Dies ist dienlich, wenn ein Computer verschiedene Netzwerkadressen besitzt und Sie all diese Adressen in einem Namen identifizieren möchten. Sie können Kennnamen hinzufügen, bearbeiten oder löschen wenn Sie auf Werkzeuge => Kennnamen klicken. Klicken Sie auf den Button [Hinzufügen] um eine Station hinzuzufügen. Geben Sie den Kennnamen ein und klicken Sie auf den Button [Hinzufügen]. Ein Dialog öffnet sich und fordert Sie auf die Adresse des Kennnamens einzugeben und seinen Type zu bestimmen: IPAdresse, IP-Adressenbereich oder MAC-Adresse. Wenn Sie einen Bereich von IP-Adressen eingeben möchten, wählen Sie den Optionsschalter IP-Adressbereich und geben die Anfangs- und End-IP-Adresse für den Bereich in die zugehörigen Felder ein. Klicken Sie auf den Button [OK] um die Kennnamenliste zu aktualisieren oder auf den Button [Abbrechen] um die Änderungen zu verwerfen. Sie können einen Kennnamen bearbeiten, in dem Sie diesen auswählen und auf den Button [Bearbeiten] oder [Löschen] klicken. Sie können gleichfalls Kennnamen auf Hosts übertragen, in dem Sie auf ein Netzwerkereignis in der Ereignisansicht des Hauptfensters rechtsklicken und einen zugehörigen Begriff aus dem Kontextmenü auswählen. Paketprotokolldateien importieren NetResident benutzt seine Überwachungs- und Protokollfähigkeiten zur Netzwerkdatenanalyse und –präsentation. Es ermöglicht Ihnen allerdings auch den Import von erfassten Paketdateien anderer TamoSoft-Netzwerküberwachungsapplikationen: CommView und CommView for WiFi und ebenso von einigen anderen Drittherstellerüberwachungsapplikationen. Starten Sie den Importassistenten durch klicken auf Datei => Logs importieren. Sie werden aufgefordert die Importdatei und die Importeinstellungen zu konfigurieren. Die importierte Datei kann einige Zeit vorher aufgenommen worden sein und Sie können die Datei mit dem aktuellen Datum zugeordnet auf alle Protokollereignisse der Logdatei importieren. Andernfalls werden alle Daten mit dem Originaldatum in Übereinstimmung mit dem internen Zeitstempel der Logdatei importiert. Hinweis: Diese Option ist nicht für alle Logdateitypen verfügbar. Wichtig: Einige oder alle Ereignisse der Logdatei können direkt nach dem Import aus der Datenbank gelöscht werden, weil die Applikation so eingestellt werden kann, dass alte Ereignisse gelöscht werden. Wenn der Zeitstempel in der Logdatei älter als die festgelegte Anzahl von Tagen in den Programmeinstellungen ist, erwägen Sie beim Import der Logdatei das aktuelle Datum zu benutzen oder den Ereigniszeitrahmen in den Programmeinstellungen zu vergößern. Schauen Sie bitte für mehr Information in die Datenbankbeschreibung: Datenbankentwicklung. Sie können auch nur die Ereignisse importieren die Sie interessieren, anstatt die ganze Logdatei zu importieren. Aktivieren Sie die beim Import, die Checkbox Aktuelle Dienstfilter beim Import benutzen. Der Importassistent wird dann die aktuellen Filtereinstellungen des NetResident-Dienst benutzen. Stellen Sie bitte sicher, dass die aktuellen Gruppenanzeige und Filtereinstellungen NetResident erlauben, die importierten Daten anzuzeigen. Andernfalls sind Sie nicht der Lage die erfolgreich in die Datenbank importierten Daten im Hauptfenster zu sehen, bevor Sie die Einstellungen ändern. Klicken Sie auf den Button [Weiter] um die ausgewählte Datei zu importieren. Sie können warten bis der Import abgeschlossen ist oder klicken Sie auf den Button [Fertigstellen], um den Import im Hintergrund durchzuführen. In diesem Fall wird das Programm Sie informieren, wenn der Import erledigt ist. Der Import kann jederzeit durch Klicken auf den Button [Abbrechen] abgebrochen werden. NetResident unterstützt den Import von Log-Dateien über eine Befehlszeile. Wenn Sie beim Import die Befehlszeile benutzen möchten, starten Sie NetResident und spezifizieren den Log-Dateinamen als ersten Befehlsnamenparameter. Beachten Sie bitte, dass der LogDateiname mit vollem Pfad eingegeben werden muss. Wichtig: Enthält ein Dateiname oder dessen Pfad Leerzeichen, so müssen diese mit Anführungszeichen eingeschlossen werden (" "). Beispiele: NETRESIDENT.EXE C:\mylog.ncf NETRESIDENT.EXE D:\DATA\"October 12.cap" NETRESIDENT.EXE D:\"Captured data\log file.pkt" Hinweis: Die Funktion Logdatei importieren ist nicht für Anwender der Lite-Version verfügbar. Datenbankverwaltung Alle erfassten und analysierten Netzwerkinformationen sind in der NetResident-Datenbank gespeichert. Die Datenbank kann eventuell so groß werden, dass Sie Auswirkungen auf die Programmleistung nimmt. Die Aufzeichnungen veralten mit der Zeit. Unter diesen Umständen empfehlen wir Ihnen, nicht benötigte Aufzeichnungen mit dem Datenbankverwaltungsassistenten zu entfernen. Klicken Sie auf Datei => Datenbank verwalten um den Datenbankverwaltungsassistenen zu starten. Klicken Sie auf den Button [Weiter] um den aktuellen Datenbankstatus, ihre Größe und die Anzahl der Aufzeichnungen anzuzeigen. Wählen Sie auch den Arbeitsgang, der mit der Datenbank durchgeführt werden soll. Sehen Sie sich auf dieser Seite die aktuellen in der NetResident-Datenbank gespeicherten Netzwerkereignisse an. Die Spalte Datum ermöglicht Ihnen, Aufzeichnungen über das Datum (Jahr, Monat, Tag) zu finden. Die aufgezeichneten Netzwerkereignisse werden eingeblendet. In der Spalte Aufzeichnungen wird die Anzahl der Ereignisse, bezogen auf die in der Spalte Datum eingetragene Periode, angezeigt. Um alle Netzwerkereignisse der Datenbank zu löschen, wählen Sie die Option Alle löschen oder um die Aufzeichnungen einer festgelegten Periode zu löschen (Tag, Monat, Jahr), aktivieren Sie die zugehörige Checkbox und wählen Sie die Option Auswahl löschen. Wichtig: Die Aufzeichnungen werden permanent gelöscht und können nicht wiederhergestellt werden! Wenn Sie die Datenbank zur späteren Nutzug auf einem anderen Computer sichern möchten, wählen Sie bitte Datenbank exportieren. NetResident wird die Datenbank in eine Datei speichern, die dann später durch Auswahl der Option Dantenbank importieren wieder angesehen werden kann. Hinweis: Datenbankexport schreibt alle Ereignisse der Datenbank in eine Datei. Datenbank import löscht alle Aufzeichnungen in der aktuell geladenen Datenbank! Falls Sie Daten aus einem Archiv wiederherstellen müssen, wählen Sie die Option Von Archiv wiederherstellen. Beachten Sie, dass Ereignisdaten auch von einem Archiv importiert werden können, Sie müssen deshalb die Filteroptionen für die anzuzeigenden Aufzeichnungen ändern. Wenn die Option zur Datenbankgrößenbeschränkung eingeschaltet ist, werden Ereignisaufzeichnungen automatisch am Ende des Tages archiviert und das Archiv könnte doppelte Aufzeichnungen beinhalten. Um diesem Umstand vorzubeugen, müssen Sie die Option zur Datenbankgrößenbeschränkung abschalten oder die erforderlichen Aufzeichnungen manuell löschen. Wählen Sie den benötigten Arbeitsgang und klicken Sie auf den Button [Weiter]. Falls Sie Import- oder Exportoptionen auswählen, werden Sie nach einem Datenbankdateinamen gefragt. Wenn die Option Vom Archiv wiederherstellen gewählt wird, müssen Sie angeben, welches Archivverzeichnis die AUfzeichnungen für das erforderliche Datum enthält. Datenbankwartung kann einen erheblichen Zeitaufwand erfordern. Die Datenüberwachung und –protokollierung pausieren solange Änderungen in die Datenbank eingegeben werden. NetResident-Dienst Der NetResident-Dienst läuft bei der Verkehrserfassung im Hintergrund, analysiert diesen und fügt ihn in die Datenbank ein. Der Dienst startet nach dem Hochfahren von Windows und ist immer aktiv. Abhängig von den Programmeinstellungen wird der Verkehr immer erfasst oder nur, wenn NetResident getartet ist. Dieses Verhalten wird im Menü Werkzeuge => Einstellungen oder Netzwerk => Inbetriebnahme konfigurieren. Schauen Sie bitte für detaillierte Informationen in das Kapitel Netzwork: Inbetriebnahme dieser Anleitung. Normalerweise müssen Sie den NetResident-Dienst nicht manuell starten oder stoppen. Sollten Sie dies benötigen, können Sie den Dienst von der Programmgruppe aus kontrollieren (Stop- / Start-NetResident-Servicepunkte) oder in der Systemsteuerung => Verwaltung => Dienste. Fernverbindungen zum NetResident-Dienst Hinweis: Schauen Sie bitte in das Kapitel Häufig gestellte Fragen (FAQ) bezüglich Informationen über die Lizenzverteilung des NetResident-Dienstes und Bedienoberfläche beim Einsatz auf verschiedenen Computern. Wie vorher erwähnt, besteht NetResident aus zwei Teilen: Der NetResident-Bedienoberfläche, die zum NetResident-Dienst verbindet, Daten verarbeitet, diese gruppiert und dem Anwender präsentiert und dem NetResident-Dienst, der das Netzwerk überwacht, Daten erfasst und in die Datenbank zur Verarbeitung und Anzeige speichert. Die Verbindung zwischen Bedienoberfläche und Dienst wird über TCP/IP gebildet, was bedeutet, dass Sie sich auf jedem laufenden Computer mit dem NetResident-Dienst verbinden können, solange sie sich über TCP/IP zu ihm verbinden können und Sie das Passwort kennen. Wenn Sie NetResident starten, wird eine Verbindung zu dem zuletzt verbundenen NetResident-Dienst hergestellt (standardmäßig ist dies der lokale PC). Führen Sie Folgendes durch, wenn Sie sich mit einem anderen NetResident-Dienst verbinden möchten: • • • • • Klicken Sie auf Datei => Trennen - um sich von dem gegenwärtig verbundenen NetResident-Dienst zu trennen. Klicken Sie auf Datei => Verbinden. Wählen Sie die Option Mit lokalem Dienst verbinden wenn Sie sich mit dem Dienst auf Ihrem lokalen Computer verbinden möchten. Wenn Sie sich zu NetResident auf einem entfernten Computer verbinden möchten, wählen Sie die Option Zu Ferndienst verbinden. Wenn Sie die Option Zu Ferndienst verbinden wählen, geben Sie in die Felder Entfernter Dienst und Passwort die IPAdresse und das Passwort des zu verbindenden Computers ein. Klicken Sie auf [OK]. Beachten Sie bitte, dass Fernverbindungen zum NetResident-Dienst standardmäßig aus Sicherheitsgründen abgeschaltet sind. Um diese Option einzuschalten, sollte NetResident auf dem zu verbindenden Computer richtig konfiguriert sein. Zur Konfiguration von NetResident starten Sie das Programm und wählen Sie Tools => Netzwerk => Fernverbindung. Aktivieren Sie die Checkbox Fernverbindung zu diesem Dienst erlauben und geben Sie das Passwort für diese Verbindung in das Feld Passwort ein. Bestätigen Sie das Passwort durch nochmalige Eingabe in das Feld Passwort bestätigen und klicken Sie auf [OK]. Hinweis: Sie werden niemals nach einem Passwort gefragt, wenn Sie sich zum lokalen NetResident-Dienst verbinden. Plugins NetResident benutzt ein Protokollmodul-Pluginsystem zur Verarbeitung und Anzeige von Netzwerkereignissen. Jedes Plugin ist zuständig für die Verarbeitung eines Netzwerkprotokolls oder einer Anzahl von Protokollen. Das NetResident-Installationspaket wird mit den folgenden Protokoll-Plugins ausgeliefert: • • • • • • • • • • • • Web – verarbeitet die Datenübertragungen über das HTTP-Protokoll. Dieses Plugin ist für die Anzeige von Webseiten zuständig. Mail – verarbeitet die Datenübertragungen über POP3-, SMTP- und IMAP-Protokolle. Diese Protokolle werden von E-MailClients und Server-Software für E-Mail-Nachrichtenaustausch benutzt. News – verarbeitet die Datenübertragungen über das NNTP-Protokoll. Dieses Protokoll wird für Newsgruppennachrichtensendungen und -anzeigen benutzt. ICQ/AIM – verarbeitet die Datenübertragungen über ICQ- und AOL-Sofortnachrichten-Protokolle. MSN – verarbeitet die Datenübertragungen über das MSN-Sofortnachrichten-Protokoll Version 8. FTP – verarbeitet die Datenübertragungen über das FTP-Protokoll, welches zum Herunter-/Heraufladen von Dateien von/nach FTP-Servern benutzt wird. Yahoo – verarbeitet die Datenübertragungen über das Yahoo-Sofortnachrichten-Protokoll. Jabber – verarbeitet die Datenübertragungen über das XMPP-Protokoll. Dieses Protokoll wird benutzt für Sofortnachrichten verschiedener Jabber-Clients inklusive Google Talk. Beachten Sie bitte, dass das Jabber-Plugin keine SSL-verschlüsselten Nachrichten erfassen kann. IRC – verarbeitet die Datenübertragungen über das Internet Relay Chat-Protokoll. Telnet – verarbeitet die Datenübertragungen über das Telnet-Protokoll. VoIP – verarbeitet die Datenübertragungen über das SIP-Protokoll unter Benutzung von RTP Voice Streams. WebMail – verarbeitet E-Mailnachrichten, die über das Web-Interface von web-basierten Mail-Systemen gesendet oder empfangen wurden. . Hinweis: Das Abspielen von erfassten Voice Streams ist für Lite-Lizenz-Anwender nicht verfügbar. Die Plugin-Module befinden sich im Installationsverzeichnis im Unterverzeichnis Plugins. Standardmäßig sind alle Plugins eingeschaltet und aktiv, z.B. die Plugins verarbeiten Netzwerkdaten und speichern diese in die Datenbank. Wenn Sie nicht an der Verarbeitung und Speicherung der Datenübertragung eines bestimmten Protokolls interessiert sind, können Sie das zugehörige Plugin abschalten um die CPU-Belastung und Festplattenspeicherausnutzung zu reduzieren. Zusätzliche Plugin-Module von TamoSoft können zu NetResident hinzugefügt werden, sobald diese verfügbar sind. Kopieren Sie die Plugin-Moduldatei in das Unterverzeichnis Plugins im Installationsverzeichnis. Nach dem Hinzufügen eines Plugins, starten Sie den NetResident-Dienst erneut um das neue Modul zu laden. Klicken Sie dazu auf den Menüpunkt Stop NetResident-Dienst / Start NetResident-Dienst in der NetResident-Programmgruppe um den Dienst erneut zu starten. Einige NetResident-Plugins können konfiguriert werden, erfasste Ereignisse auszublenden (sie werden nicht in der Ereignisliste angezeigt, aber in der Datenbank gespeichert) oder Ereignisse während der Erfassung völlig auszufiltern (sie werden weder in der Datenbank gespeichert noch angezeigt). Der letzte Typ wird als "Erfassungsfilter" bezeichnet. Zur Konfiguration eines Plaugins zur Ausblendung eines Ereignisses, wählen Sie Ereignisse => Filter => Erweitert. Ghen Sie zum Plaugin-Register. Wählen Sie das erforderliche Plugin und klicken Sie auf den Button [Ändern]. Zur Konfiguration von Erfassungsfilterung, wählen Sie Werkzeuge => Optionen und klicken Sie auf Plugins. Wählen Sie das gewünschte Plugin und klicken Sie zur Änderung der Einstellungen auf den Button [Ändern]. Die folgenden Optionen sind verfügbar: HTTP-Plugin-Filter Die Anzeige von Webseiten erfordert von einem Browser eine große Menge von Zusatzdateien automatisch zu laden, wenn eine Webseite geöffnet wird. Das Ziel dieses Filters ist die Ausblendung aller Zusatzdateien zum Zweck der Anzahlreduzierung angezeigter Aufgezeichnungen. Bitte aktivieren Sie die Checkbox Filterung einschalten, damit die HTTP-Filter aktiv werden. Wenn Sie diese Filter temporär abschalten möchten, deaktivieren diese Checkbox. Die Liste Anzeige der folgenden Typen ermöglicht Ihnen die Dateitypen zu spezifizieren, welche als Netzwerkereignis (oder auch nicht, abhängig von den Einstellungen) angezeigt werden. • • • • • • Textdateien – Text- und HTML-Dateien (Webseiten) Bilder – Bilder Bekannte Dateien – Archive (.zip, .rar, .arj, usw.), MS-Office-Dokumente (.doc, .xls) und andere bekannte Dateien werden nicht angezeigt, wenn diese Checkbox aktiviert ist. Audiodateien - Audiodateien Videodateien - Videodateien Alle anderen – jeder andere Dateityp Deaktivierung der zugehörigen Checkboxen läßt NetResident die betreffenden Dateien aus der Ereignisliste ausblenden. Beispielsweise, wenn Sie die Checkbox Bilder deaktivieren, sind Sie nicht in der Lage irgendein Bild in der Liste zu sehen. Durch Deaktivierung der zugehörigen Checkboxen entfernt NetResident die betreffenden Dateitypen aus der Liste. Falls Sie alle deaktivieren werden Sie überhaupt keine HTTP-Netzwerkereignisse sehen. Minimum Bildgröße, Kb – Diese Option setzt die minimale Größe fest, die ein Bild haben muss um angezeigt zu werden. Die meisten Bilder im Web (abgesehen von Fotos) sind sehr klein. Wenn Sie möchten, dass NetResident Bilder anzeigt, Sie aber keine Banner und Seitenelemente sehen möchten, geben Sie den benötigten Wert in diesem Feld ein. Fehlerhafte Antworten ignorieren – Falls aktiviert, blendet diese Option fehlerhafte Anfragen/Antworten aus (die meisten Anwender sollten diese Option einschalten um die Anzahl von Junk-Aufzeichnungen zu reduzieren). Ein anderer Teil des HTTP-Filters ist die Seitenadressfilterung. Er ermöglicht Ihnen spezifische Seiten auszublenden unter Benutzung des Seitennamens als Filterkriterium. g Folgende Seiten ausblenden – Seitenadressfilterung ein-/ausschalten Wenn die Seitenadressfilterung eingeschaltet ist, wird der Filter alle Seiten auf die das Filterkriterium zutrifft (im Bereich Seitenadressfilterung spezifiziert) angewandt. Benutzen Sie bitte die folgende Syntax zur Festlegung von Filterkriterien: . – jedes Symbol \. – für den Punkt \d – für Zahlen (von 0 bis 9) NetResident benutzt standardmäßig reguläre Ausdrücke zur Filterung. Sie finden mehr Informationen bezüglich regulärer Ausdrücke und deren Syntax unter http://www.regular-expressions.info/reference.html Beispielkriterien: Google\.com – Blendet Seiten aus, deren Domain-Name "google.com" beinhaltet. www\.google\.com – Blendet www.google.com aus. \.org$ – Blendet alle Seiten der ORG-Domain aus. \d – Blendet alle Seiten aus, deren Domain-Namen eine Zahl enthält. Hinweis: Wenn Sie nur den Domain-Namen als Kriterium festlegen (.org, .com, usw.) sollte das Schriftzeichen $ ans Ende der Zeichenkette gesetzt werden. Um ein Filterkriterium hinzuzufügen, klicken Sie bitte auf den Button [Hinzufügen] auf der rechten Seite des Fensters. Das Fenster Aufzeichnung hinzufügen wird geöfnet. Legen Sie ein bitte ein benötigtes Kriterium fest und klicken Sie auf den Button [OK]. Das Fenster wird geschlossen und die betreffende Aufzeichnung wird der Filterkriterienliste hinzugefügt. Um eine Eintragung zu entfernen, wählen Sie diese bitte in der Liste an und klicken auf den Button [Entfernen]. Um eine Eintragung zu bearbeiten, wählen Sie die betreffende Eintragung und klicken auf den Button [Bearbeiten]. HTTP-Erfassungsfilter Der Gebrauch des Filters ist ähnlich zu dem vorhergehenden, ausgenommen, dass er Ereignisse ausfiltert, bevor diese in die Datenbank gespeichert werden. Dies reduziert die Größe des erforderlichen Festplattenplatzes und CPU-Belastung während der Datenbankaufbereitung. Aktivieren Sie die Checkbox Filterung einschalten, damit die HTTP-Filter aktiv werden. Wenn Sie diese Filter temporär abschalten möchten, deaktivieren diese Checkbox. Aktivieren Sie die Checkbox SSL-Sitzungen auslassen zur Abschaltung der Erfassung von HTTPS-Sitzungen. Das Fenster Seitenadressfilterung ermöglicht Ihnen eine Auflistung von URL's zu konfigurieren, welche die Applikation filtern soll. Mehr Information über die Syntax zur Spezifizierung von Filterkriterien (normale Ausdrücke) wird oben erklärt. Zwei Filtermodi sind verfügbar: Nur Ereignisse erfassen, die den Filterkriterien entsprechen (die Option Nur die folgenden URL's erfassen) oder alle Ereignisse erfassen, ausgenommen solche, die den Filterkriterien entsprechen (die Option Alle außer den folgenden URL's erfassen). Mail-Erfassungsfilter Dieser Filter dient zur Filterung von E-mail-Nachrichten und ist dem vorherigen Filter in der Funktionalität ähnlich. Zur Aktivierung des Mail-Erfaasungsfilters aktivieren Sie die Checkbox Filterung aktivieren. Wenn Sie diese Filter temporär abschalten möchten, deaktivieren diese Checkbox. Ereignisse können über den Sender/Empfänger ausgefiltert werden und über Schlüsselwörter aus dem Nachrichtentext. Boolean Logik (AND/OR) wird zur Kombinierung von Filterbedingungen benutzt. Mehr Information über die Syntax zur Spezifizierung von Filterkriterien (normale Ausdrücke) wird oben erklärt. Dieser Filter ermöglicht entweder die Erfassung aller Mail-Nachrichten die den Filterbedingungen entsprechen (die Option Nur das folgende erfassen) oder alle Ereignisse erfassen, ausgenommen solche, die den Filterbedingungen entsprechen (die Option Alle ausser den folgenden erfassen). PromiSwitch Tool Hinweis: Sie benutzen dieses Werkzeug auf eigenes Risiok. Benutzen Sie niemals dieses Werkzeug in dem Netzwerk an dem Sie angeschlossen sind, wenn Sie nicht der Netzwerkadministrator sind. Die Benutzung dieses Werkzeuges kann die Netzwerkverbindungsfähigkeit stören. Es steht kein technischer Support für dieses Werkzeug zur Verfügung. Das PromiSwitch Tool wurde entwickelt zur Beschaffung von Netzwerksichtbarkeit in switch-basierten Netzwerken, in denen keine Portspiegelungsoption in den verwendeten Switches vorhanden ist. Schauen Sie bitte in unser White Paper Promiscuous Monitoring in Ethernet and Wi-Fi Networks für detaillierte Informationen zu diesem Thema. Dieses Werkzeug wird unter Ausnutzung der Schwachstellen des ARP-Protokolls versuchen die Netzwerksichtbarkeit sicherzustellen. Es wird dringend empfohlen, wenn möglich eher die Portspiegelung zu benutzen als das PromiSwitch Tool. Starten Sie PromiSwitch und wählen Sie das betreffende Netzwerkadapter, welches für die Stationsspiegelung benutzt werden soll. Kennzeichnen Sie den benötigten IP-Bereich, durch ausfüllen von Scan von: und Scan nach: Klicken Sie dann auf den Button [Start]. Zum Abbruch des Scanprozesses, klicken Sie auf den Button [Stop]. Nach dem das Scannen abgeschlossen ist, werden die erkannten Stationen (inklusive ihrer IP- und MAC-Adresse) in der Liste angezeigt. Aktivieren Sie die zugehörigen Checkboxen der Positionen, welche Sie überwachen möchten und klicken Sie auf den Button [Start]. Das PromiSwitch Tool wird periodisch spezielle Netzwerkpakete senden um Stationen auszuwählen. Dies wird den Verkehr zwischen dem Gateway und den ausgewählten Stationen zu Ihrem Arbeitsplatz umleiten und beschafft die Netzwerksichtbarkeit. Sie können auch den internen Verkehr zwischen jedem Stationspaar zu Ihrem Arbeitsplatz umleiten, in dem Sie Intern in der Verkehrs-Drop-Down-Liste anwählen und zwei Stationen auswählen. Das Einstellungsfenster erlaubt Ihnen, einige Programmeinstellungen zu ändern, wie Stationsliste bei neuem Scan leeren, Automatische Paketsendung bei Programmstart und dem Intervall zischen Paketen. Referenz Häufig gestellte Fragen In diesem Kapitel finden Sie Antworten zu den meisten, häufig gestellten Fragen. Die aktuelle FAQ ist immer unter http://www.tamosoft.de/products/netresident/faq.php verfügbar. F. Was ist der Unterschied zwischen NetResident Lite und NetResident Pro? A. Zwei Lizenztypen sind für NetResident verfügbar: Lite und Pro. • Pro: Alle Funktionen sind verfügbar. • Lite: Alle Funktionen sind verfügbar, mit Ausnahme von VoIP-Unterstützung und die Fähigkeit Paketprotokolldateien anderer Applikationen zu importieren. F. Ich plane den NetResident-Dienst auf einem Computer zu installieren und dann unter Benutzung der Bedienoberfläche eines anderen Computers zu dem Dienst zu verbinden. Was soll ich tun um dem Lizenzabkommen nachzukommen? A. Gemäß dem EULA, erlaubt Ihnen eine Einzelanwenderlizenz eine Kopie von NetResident in einem Anwenderkonto des Operationssystems zu benutzen. Installation und Benutzung auf verschiedenen Computern, ungeachtet der Installation oder der Benutzungsart (Dienst oder Bedienoberfläche) erfordert, dass Sie sich entsprechend der Anzahl von Installationen, Lizenzen beschaffen. F. Mein HTTP-Plugin zeigt HTML-Seiten nicht immer korrekt an. Beispielsweise werden einige Bilder nicht angezeigt. Warum ist das so? A. Eine typische HTML-Seite repäsentiert eine Kollektion von Dutzenden unabhängigen Objekten – HTML-Code, Bilder, CSS styles und anderen. Ein Browser fordert jedes dieser Objekte an; allerdings werden die meisten dieser Objekte zwischengespeichert (zur späteren Benutzung auf die Festplatte gespeichert) und werden somit nicht jedesmal vom Netzwerk angefordert, wenn eine Webseite angesehen wird. NetResident hat keinen Zugang zu Ihrem Browser-Zwischenspeicher; deshalb kann es diese Okjekte nicht „sehen“. Dies ist kein Problem mit NetResident; Sie können die Webseite immer in Ihrem Browser neu laden (Sie müssen ein komplettes Neuladen durchführen, in MSIE wird dies durch Klicken auf den Button [Aktualisieren] und gedrückthalten der Taste [Shift] erreicht. Dies ermöglicht NetResident alle Webseitenelement zu protokollieren und zu speichern. F. Welche Adresse (IP-oder MAC) soll ich zwecks Identifizierung einer Station benutzen, die ich überwachen möchte? A. Falls Sie DHCP in Ihrem Netzwerk eingeschaltet haben, wird jedem Computer mit einer einzigartigen MAC-Adresse in jeder Sitzung eine andere IP-Adresse zugewiesen. In diesem Fall sollten Sie Ihre Stationen durch MAC-Adressen identifizieren. Dies wird das Programm anweisen alle Netzwerkereignisse zuzuordnen, in denen die festgelegte MAC-Adresse die bestimmte Station darstellt und verhindern, dass die Stationsliste überläuft. In einigen Fällen können Sie auf unterschiedliche MAC-Adressen für jeden Host treffen. Wenn Sie ihrem Netzwerkadapter und anderen Stationen im LAN statische IP-Adressen zugewiesen haben, sollten Sie IP-Adressen zur Identifizierung der Stationen verwenden. Wir empfehlen die Benutzung von Kennnamen für MAC- und IP-Adressen, diese erleichtern die Wiedererkennung und Analyse der Netzwerkereignisse erheblich. F. Wenn ich versuche Logdateien von CommView oder CommView for WiFi zu importieren, bin ich nicht in der Lage den Inhalt einiger Dateien anzuzeigen. Ich glaube, ich habe alle Parameter bzgl. der Ereignisansicht und –filterung korrekt eingestellt. A. Es ist wichtig, zu verstehen, dass die Importdurchführung und der Inhaltanzeigemechanismus jeweils eigene Filter besitzen. Als Sie die Datei importierten, wurde der Inhalt möglicherweise während der Importphase ausgefiltert, wenn Sie Filter angewandt haben. Sobald die Importphase vorbei ist, benutzt die Applikaton den Anzeigefilter zur Darstellung des Inhalts. Hier ist eine Chance, dass die Applikation konfiguriert ist, nur die Daten darzustellen, welche in den letzten zwei Tagen gesammelt wurden, weil die Logdatei Sitzungen enthält, die außerhalb dieses Rahmens liegen. Zur Darstellung der Daten durch die Applikation können Sie den Anzeigefilter abschalten. F. Warum besteht der NetResident-Dienst beim Start darauf, dass ich Logdateien durchsehen möchte und nicht aktuell erfasste Daten? A. Die Datenbank wird durch den Dienst gewartet. Die graphische Benutzeroberfläche (GUI) ist nur eine einfache Konsole die mit dem Dienst „spricht“. Die gesamte Datenverarbeitung und –filterung wird auch durch den Dienst geleistet, so dass er laufen muss. F. Ich habe NetResident so eingestellt, dass die Überwachung nur gestartet wird, wenn die Applikation läuft und nicht mit Windows startet. Ich stellte nach der Beendigung von NetResident fest, dass der Dienstprozess „tfsnrs.exe“ weiterhin im Taskmanager läuft. Warum läuft er weiter? A. Der Lauf des Dienstes und Überwachung sind verschiedene Dinge. Der Dienst muss jederzeit aktiv sein, um in der Lage zu sein mit der GUI zu „sprechen“. Das heißt nicht, dass der Dienst jederzeit Daten erfasst. Er erfasst Daten nur auf Anfordernug. Theoretisch, wenn die Applikation zur Datenerfassung konfiguriert wurde wenn die GUI läuft, könnte man den Dienst starten wenn die GUI läuft und ihn stoppen, wenn die GUI anhält, aber starten des Dienstes ist ein bisschen langsam und meistens wichtig, es kann auch nicht ferngesteuert durchgeführt werden, wenn der Dienst und die GUI auf unterschiedlichen Maschinen laufen. Dies ist etwas, was wir für die Zukunft planen einzubauen. Der Fakt, dass der Dienst im Hintergrund läuft, sollte Sie nicht weiter stören, denn wenn er keine Überwachung durchführt, konsumiert das Netzwerk auch keine Systemressourcen. F. Können Sie einige Leistungsmaße angeben, wenn NetResident dazu benutzt wird, ein schwerbeladenes Netzwerk zu überwachen? A. Die Programmleistung ist abhängig von der CPU-Geschwindigkeit und der RAM-Größe. Wenn Sie die standardmäßige Überwachungseinstellungen benutzen, z.B. wenn alle Plugins eingeschaltet sind und alle Ports überwacht werden, kann ein durchschnittlicher Pentium 4, 3GHz-PC mit 512 Mbyte RAM eine vollausgenutzte 100 Mbit-Netzverbindung überwachen. Um schnellere Netzwerkverbindungen zu überwachen, sollten Sie eine Stationsfilterung einstellen, die überwachten Ports begrenzen und nichtbenötigte Plugins abschalten. Die Leistung ist auch vom Typ des überwachten Verkehrs abhängig, sodass zusätzliche Filter nur übernommen werden sollten, wenn Sie Leistungsprobleme wahrnehmen. F. Für einige ICQ- und AIM-Chat-Sitzungen wurde eine der Teilnehmer-ID-Nummern als „Nicht entdeckt“ angezeigt. Warum wurde diese nicht entdeckt? A. Dies passiert, wenn eine ICQ- oder AIM-Chat-Sitzung (inklusive der Authentisierungsphase) beginnen, bevor NetResident die Erfassung von Netzwerkpaketen startet. Wenn die Erfassung in der Mitte der Chat-Sitzung startet, kann die ID manchmal gefunden werden (wie sie einige Servicepakete enthalten, die periodisch gesendet werden), trotzdem kann dies nicht garantiert werden. F. Kann Ihr VoIP-Modul genutzt werden um Skype-Konservationen zu protokollieren? A. Leider, nein. Skype benutzt eine stabile Verschlüsselung, es ist unmöglich Skype-Konservationen zu entschlüsseln. F. Warum zeigt NetResident die Anzahl der übertragenen Daten nicht in Begriffen wie Bytes an? A. NetResident speichert übertragene Daten nicht immer in ihrer originalen Form. Stattdessen verarbeitet NetResident diese für eine bequemere Präsentation. Es ist nicht ungewöhnlich für ein Einzelnetzwerk in mehrere separate Ereignisse aufgeteilt zu sein oder das mehrere Netzwerksitzungen in ein Ereignis kombiniert werden. Außerdem wird nicht vermutet dass einige übertragene Daten von NetResident-Plugins nicht verarbeitet werden. Das bedeutet, NetResident kann nicht und ist auch nicht zur Anzeige verlässlicher Netzwerkdatenstatisken geeignet. Wenn Sie an Netzwerkverkehrstatistiken interessiert sind, sollten Sie ein anderes TamoSoft-Produkt benutzen: CommTraffic. F. Ich benutze WireShark und ich bemerke, dass ich nicht länger Pakete erfassen kann, nach dem NetResident installiert wurde. A. Hier ist ein bekannter Konflikt zwischen WinPcap, dem in WireShark und vielen ähnlichen Produkten benutzten Treiber, sowie dem benutzten Treiber in NetResident. Da gibt es eine einfache Abhilfe: Starten Sie die Paketerfassung mit WireShark bevor Sie Pakete mit NetResident erfassen. In diesem Fall werden beide Produkte in der Lage sein, simultan Pakete zu erfassen. Wenn Sie die Erfassung mit NetResident zuerst starten, wird die Paketerfassung mit WinPcap aus einem für uns unbekannten Grund fehlschlagen. Information Wie kann NetResident gekauft werden? Dieses Programm ist eine 30-Tage-Testversion. Wenn Sie es nach den 30 Tagen weiterbenutzen möchten, müssen Sie es kaufen. Zwei Lizenztypen sind für NetResident verfügbar: Lite und Pro. • • Pro: Alle Funktionen sind verfügbar. Lite: Alle Funktionen sind verfügbar, mit Ausnahme von VoIP-Unterstützung und die Fähigkeit Paketprotokolldateien anderer Applikationen zu importieren. Als registrierter Anwender haben Sie Anspruch auf: • • • Freie Updates, die innerhalb eines Jahres nach Kaufdatum erscheinen; Informationen über Updates und neue Produkte; Freien technischen Support. Wir akzeptieren Kreditkartenbestellungen, telefonische und Faxbestellungen, Schecks und Banküberweisungen. Änderungen der Preise und Geschäftsbedingungen sind vorbehalten. http://www.tamosoft.de/order/ Nehmen Sie Kontakt mit uns auf Web http://www.tamosoft.de E-Mail [email protected] (Gewerbliche Anfragen) [email protected] (Alle anderen Fragen) Mail und Fax Postadresse: PO Box 1385 Christchurch 8140 Neuseeland Fax: +64 3 359 0392 (Neuseeland) Fax: +1 917 591-6567 (USA) Andere TamoSoft-Produkte CommView® CommView ist ein Programm zur Überwachung des Internet- und Local Area Network-Verkehrs (LAN), das in der Lage ist Netzwerkpakete zu empfangen und zu analysieren. Das Programm sammelt Informationen über die Daten von Wählverbindungen oder Ethernet-Karten und decodiert die zu analysierenden Daten. Mit CommView können Sie eine Liste der Netzwerkverbindungen, sowie eine IP-Statistik sehen und einzelne Datenpakete untersuchen. Pakete werden bis zur untersten Ebene mit einer Vollanalyse der weitverbreitetsten Protokolle decodiert. Ein Vollzugriff auf Rohdaten in Echtzeit ist auch möglich. CommView ist ein nützliches Werkzeug für LAN-Administratoren, Security-Experten, Netzwerker und für jeden der sich gerne ein Bild des Verkehrs auf einem PC oder in einem LAN-Segment machen will. Mehr Information CommView for WiFi CommView for WiFi ist ein mächtiger drahtloser Netzwerkmonitor und -analyser für 802.11 a/b/g-Netzwerke. Ausgestattet mit vielen benutzerfreundlichen Besonderheiten verbindet CommView für WiFi bestes Leistungsverhalten und Flexibilität mit bisher unerreichter Einfachheit in der Bedienung, unter industriellen Verhältnissen. CommView für WiFi erfasst jedes Paket um wichtige Informationen, wie die Liste der Zugriffspunkte und Stationen, Knoten- bzw. Kanal-spezifische Statistiken, Signalstärken, eine Liste der Pakte, Netzwerkverbindungen und Protokollverteilungsübersichten etc., anzuzeigen. Zusätzlich bietet CommView für WiFi die Werkzeuge um die erfassten Pakete zu betrachten bzw. zu untersuchen, Netzwerkprobleme genau zu lokalisieren, WLAN-Installationsvorabklärungen bzw. Untersuchungen durchzuführen und die Fehlersuche bezüglich Software und Hardware zu unterstützen. Mehr Information CommTraffic CommTraffic ist ein Netzwerk-Werkzeug zum Sammeln, Verarbeiten und zur Darstellung von Verkehr und Netzwerklaststatistiken in Netzwerkverbindungen, einschließlich LAN- und Wählverbindungen. Es zeigt den Verkehr und die Netzwerkauslastung für jeden Computer im Segment. Die Software bietet eine angenehme und anpassbare Oberfläche mit einem optionalen Tray-Icon-Menü, das allgemeine Netzwerkstatistiken darstellt. Sie können mit dem Programm Berichte über den Netzwerkverkehr und die Internetverbindungskosten (sofern vorhanden) erstellen. CommTraffic unterstützt alle möglichen Kostenpläne Ihres ISP, wie z. B. solche auf der Basis von Verbindungszeiten, Datenvolumen, Tageszeit und andere Einheiten. Sie können Alarme definieren, die Sie bei bestimmten Situationen informieren (z. B. bei einer bestimmten Last oder bei bestimmten Kosten). Ein Konfigurationsassistent leitet Sie durch das Setup und entdeckt automatisch Ihr Netzwerk oder Ihre Verbindungseinstellungen. Mehr Information CountryWhois CountryWhois ist ein Hilfsmittel zur Identifizierung des geographischen Standortes einer IP-Adresse. CountryWhois kann zur Analyse von Server-Log-Dateien, zur Überprüfung von E-Mali-Nachrichtenköpfen, zur Idenfizierung von Online-Kreditkartenbetrügern oder für jede andere Gelegenheit benutzt werden, wo Sie schnell und exakt das Land der Ursprungs-IP-Adresse bestimmen müssen. CountryWhois differenziert sich von ähnlichen Werkzeugen durch seine hohe Exaktheit (über 98%), durch seine beispilelose Verarbeitungsgeschwindigkeit (eine 100 MB Logdatei wird in einer Sekunde verarbeitet), regelmäßige Updates, welche die sich immer ändernde IP-Adressendatenbank auf dem neuesetn Stand halten, eine Reihe unterstützter Im- und Exportformate, Befehlszeilenmodus und eine komfortable Bedienoberfläche. Mehr Information SmartWhois SmartWhois ist ein praktisches Werkzeug um Informationen über eine beliebige IP-Adresse, einen Hostnamen oder eine Domäne irgendwo auf der Welt zu bekommen. Es liefert automatisch Informationen zur IP-Adresse oder Domäne, unabhängig davon wo diese geografisch registriert wurden. In wenigen Sekunden erhalten Sie alle Informationen, die Sie über einen Nutzer wissen wollten: Domäne, Netzwerkname, Land, Staat/Bundesland und Stadt. Selbst wenn die IP-Adresse nicht in einen Hostnamen umgewandelt werden kann wird Sie SmartWhois nicht enttäuschen! Mehr Information Essential NetTools Essential NetTools ist ein Satz von Netzwerkwerkzeugen, die sehr nützlich zur Netzwerkdiagnose und Netzwerkverbindungsüberwachung Ihres Computers sind. Das Programm ist ein Schweizer Taschenmesser für jeden, der machtvolle Werkzeuge für den Alltagseinsatz sucht. Das Programm enthält ein NetStat-Werkzeug, welches die Netzwerkverbindungen Ihres Computers anzeigt, ferner dessen offene Ports und deren Zuordnung zu den entsprechenden Anwendungen. Ferner enthält es einen schnellen NetBIOS-Scanner, ein NetBIOSAuditing-Werkzeug zur Überprüfung der LAN- Sicherheit und einen Monitor für die externen Verbindungen zu den geteilten Ressourcen Ihres Computers. Es ist ebenso ein Prozessmonitor zur Anzeige der Informationen über die laufenden Programme und Services vorhanden. Weitere nütziche Werkzeuge sind z. B. Ping, TraceRoute, und NSLookup. Weitere Möglichkeiten sind die Berichterzeugung im HTML-, Text- und CSV-Format und die konfigurierbare Schnittstelle. Das Programm ist ein leicht zu benutzender und mächtiger Ersatz für Windows-Werkzeuge, wie nbtstat, netstat und NetWatcher. Die Applikation besitzt viele Profimöglichkeiten, die ein normales Windows nicht bietet. Mehr Information DigiSecret DigiSecret ist eine leichtzubenutzende, sichere und mächtige Applikation zur Dateiverschlüsselung und zum gemeinsamen Dateizugriff. Es nutzt starke, etablierte Verschlüsselungsalgorithmen zur Erzeugung verschlüsselter Archive, selbstextrahierender Exe-Dateien zum Dateien-Sharing mit Kollegen und Freunden. DigiSecret beinhaltet ferner eine starke und intelligente Dateikompression. Sie benötigen nun keine ZIP-Dateien mehr, wenn Sie verschlüsselte und komprimierte DigiSecret-Dateien benutzen. Das Programm ist in die WindowsShell integriert, so dass Sie Aktionen mittels Rechtsklick auf Dateien ausführen können. Zudem wird Drag&Drop voll unterstützt. Mehr Information