NetResident Help Documentation

Transcription

NetResident Help Documentation
NetResident
®
Hilfe-Dokumentation
Copyright © 2006-2011 TamoSoft
Einführung
Über NetResident
NetResident ist ein erweitertes Netzwerkinhaltsüberwachungsprogramm zur Überwachung, Speicherung, Analysierung und
Rekonstruktion von Netzwerkereignissen, wie E-Mail-Nachrichten, Webseiten, heruntergeladene Dateien, Sofortnachrichten und
Unterhaltungen. NetResident benutzt eine erweiterte Überwachungstechnologie zur Erfassung der erforderlichen Daten des Netzwerkes,
speichert sie in eine Datenbank, rekonstruiert die Daten und zeigt den Inhalt in einem leichtverständlichen Format.
Weil NetResident in vieler Hinsicht Netzwerkanalysern ähnelt, liegen seine Schwerpunkte auf höchsten Protokollebenen welche für den
Datentansport über das Internet oder im LAN benutzt werden. Mit NetResident benötigen Sie kein tiefgründiges Wissen über
Netzwerktechnologien,
die Benutzung komplexer Paketüberwachungs- und Analysesoftware oder durchgraben von
Netzwerkpaketanzeigen zur Rekonstruktion der aktellen Daten; NetResident erledigt alle diese Arbeiten für Sie und stellt nur die
Webseiten, E-Mail’s, Sofortnachrichten oder heruntergeladenen Dateien, wie gewünscht dar. NetResident wird benutzt von
Netzweradministratoren zur Durchführung von IT-Richtlinien, von Eltern um die Internetkommunikation ihrer Kinder zu überwachen und
von kriminaltechnischen Experten zur Erringung entscheidender Informationen.
Falls Sie einer der vielen Netzwerkfachleute sind der Tamosoft’s Netzwerküberwachungslösungen benutzt, CommView oder CommView
for WiFi, dann wird NetResident die Logdateien Ihres Paketüberwachungsprogramms verabeiten und E-Mail-Nachrichten, Webseiten und
andere Inhaltstypen für eine schnelle Analyse abrufen.
Was ist neu?
Version 1.9
•
•
•
•
•
•
Verbesserte ICQ-Unterstützung
Verbesserte HTTP proxy-Unterstützung.
Verbesserte SOCKS 4- und SOCKS 5-Unterstützung.
AOL Mail, Mail.ru und Yandex.Pochta-Unterstützung wurde hinzugefügt.
Aktualisierte Parser für Gmail, Hotmail und Yahoo-Mail zur Anpassung an die aktuellsten Änderungen dieser Dienste.
Einige Fehlerbehebungen.
Version 1.8
•
•
•
•
Viele Aktualisierungen von Protokoll-Parsern, die es ermöglichen, Sofortnachrichten und webbasierte E-mails durch Nutzung
der aktuellsten Protokolle korrekt zu nutzen.
Support von Anhängen in ausgehenden webbasierten E-Mail-Nachrichten.
Ein aktualisierter Netzwerktreiber zur Leistungsverbesserung in schwerbeladenen LAN-Umgebungen.
Einige andere Fehlerbehebungen und Interface-Verbesserungen.
Version 1.7
•
•
•
•
•
•
•
•
•
IPv6-Unterstützng
Verbesserte Applikationsleistung auf multi-core-CPU-Computern
Weitere Ereignisbenachrichtigungen wurden hinzugefügt
Konfigurierbare real-time Verkehrsfilteroptionen für HTTP- und Mail-Protokolle wurden hinzugefügt
Windows 7-Unterstützung
Minimierung in die Systemablage wurde optional hinzugefügt
Alte DAtenbankaufzeichnungen können archiviert werden
Parser für Gmail und Yahoo!-Mail wurde aktualisiert um die aktuellen Änderungen dieser Dienste anzupassen
Einige Fehlerbehebungen
Version 1.6
•
•
•
•
•
Unterstützung für webbasierte Mail-Systeme (Gmail, Hotmail, Yahoo!-Mail)
Automatischer Import von Protokolldateien
Verbessertes Ereignisverwaltung (Prioritätsebenen und Kommentare)
Einstellbarer Pfad zur NetResident-Datenbank
Einige Fehlerbehebungen
Version 1.5
•
•
•
Eine fortgeschritene Suche mit Alarmeinstellungen
Leistungsverbesserung der Datenbank
Einige Fehlerbehebungen.
Version 1.4
•
•
•
•
•
•
Neue und verbesserte hochleistungs Datenbank
Verbesserte VoIP-Unterstützung
Verbesserte ICQ-Unterstützung
Optionales PromiSwitch-Werkzeug zur Überwachung in gekoppelten Netzwerkumgebungen
Neue Lizenztypen: Pro und Lite
Einige Fehlerbehebungen
Version 1.3
•
•
•
•
•
Verbesserte VoIP-Unterstützung
Fernverbindungen zu NetResident sind jetzt möglich
Zusätzliche Ereignisdetails (Portnummern und Zeitmarken)
Windows Vista-Unterstützung
Einige Fehlerbehebungen
Version 1.2
•
•
•
•
•
Unterstützung des IRC-Protokolls (Internet Relay Chat)
Unterstützung des Telnet-Protokolls
Unterstützung für VoIP (Voice over IP)
Datenbankim- und Export
Einige Fehlerbehebungen
Version 1.1
•
•
•
•
Unterstützung für die Yahoo- und Jabber-Sofortnachrichtenprotokolle
Verbesserter Logimport der viele Überwachungsformate anderer Hersteller unterstützt
Konfigurierbares Datenbankgrößenmanagement, das zum automatischen Löschen alter Ereignisse genutzt werden kann
Einige Fehlerbehebungen
Programmbenutzung
Bevor Sie beginnen: Netzwerksichtbarkeit
Der Schlüssel zur erfolgreichen Netzwerküberwachung ist die Sichtbarkeit des Netzwerkverkehrs. Wenn Sie nur einen Computer im
Netzwerk überwachen müssen, dann ist dort keine Frage der Netzwerksichtbarkeit: Sie können einfach NetResident auf dem Computer
installieren und laufen lassen. Allerdings wenn Sie mehrere Computer in einem LAN überwachen wollen, ist es wichtig, dass Sie
verstehen, wie Sie die Netzwerksichtbarkeit erlangen, z.B. die Fähigkeit den Netzwerkverkehr anderer Stationen von einem einzelnen
Beobachtungspunkt aus zu „sehen“.
Kurzgefasst, um andere Computer in Ihrem LAN zu überwachen, müssen Sie NetResident auf einem Gateway-Computer installieren,
einen Switch mit einer Portüberwachungsfunktion benutzen oder einen Hub verwenden. Dies sind viele mögliche Netzwerkanordnungen,
so dass, falls Netzwerküberwachung für Sie neu ist, wir Ihnen empfehlen, dass detaillierte, illustrierte White-Paper von TamoSoft,
Promiscuous Monitoring in Ethernet and Wi-Fi Networks (eine PDF-Version ist auch verfügbar) zu lesen.
Ein optionales Hilfsmittel zur Überwachung switch-basierter Ethernet-Netzwerke ist verfügbar. Schauen Sie bitte für detaillierte
Informationen in das Kapitel PromiSwitch Tool.
Konfigurationsassistent
Bevor Sie Ihr Netzwerk überwachen können, müssen Sie NetResident konfigurieren. Der Konfigurationsassistent wird Ihnen helfen,
NetResident mit einigen Mausklicks zu konfigurieren. Wenn Sie den Assistent nicht beim ersten Programmstart starten, können Sie dies
jederzeit durch Klicken auf Werkzeuge => Konfigurationsassistent ausführen.
Klicken Sie im Begrüßungsfenster auf [Weiter] und gehen Sie zum Adapterauswahlfenster. Das Adapterauswahlfenster besitzt eine
Drop-down-Liste, die es ermöglicht, das korrekte Netzwerkadapter zur Überwachung zu bestimmen. Falls Ihr Computer eine
Modemverbindung besitzt oder mit dem LAN durch ein Ethernet-Adapter verbunden ist, werden Sie nur ein Adapter in der Liste finden.
Wählen Sie dieses. Wenn Ihr Computer als Internet-Gateway für Ihr LAN fungiert oder mehr als ein Netzwerkadapter besitzt, müssen Sie
den Adapter wählen, den NetResident überwachen soll. Einige Netzwerkadapter funktionieren nicht im Vermischten Modus. Falls Sie
solch ein Adapter benutzen, überprüfen Sie bitte die Checkbox Nicht-vermischten Modus benutzen. Diese Option muss immer für
drahtlose 802.11-Adapter gewählt werden. Für Modem- und VPN-Adapter wählen Sie bitte den WAN-Miniport-Adapter. Klicken Sie auf
[Weiter] um zum Stationenauswahlfenster zu gelangen.
Das Programm wird versuchen, die Arbeitplätze in Ihrem Netzwerk zu erkennen und eine Auflistung anbieten, die Sie überwachen
können. Der einfachste Weg, diese Option zu konfigurieren ist es, die Optionsschaltfläche Alle Stationen überwachen auszuwählen.
Dies ermöglicht NetResident die gesamten Netzwerkdaten zu sammeln. Sie können dieses Verhalten später ändern und festlegen,
welche Stationen Sie überwachen möchten. Schauen Sie bitte für detaillierte Informationen in das Kapitel Überwachte Stationen.
Klicken Sie auf den Button [Weiter] um zum Plugin-Auswahlfenster zu gelangen. NetResident verarbeitet den Netzwerkverkehr unter
Benutzung von Protokollmodul-Plugins. Wenn Sie es nicht benötigen, übermittelte Daten über ein bestimmtes Netzwerkprotokoll
einzusehen, können Sie das zugehörige Plugin abschalten, indem Sie die Checkbox neben dem Plugin-Namen deaktivieren. Schauen Sie
bitte für detaillierte Informationen in das Kapitel Plugins.
Das nächste Fenster ermöglicht die Konfiguration des Netzwerküberwachungsverhaltens des Programms. Wählen Sie Mit Windows
starten, wenn Sie wünschen, dass das Programm die Netzwerküberwachung startet, sobald Windows hochgefahren wird oder wählen
Sie die Option Wenn NetResident läuft, falls Sie möchten, dass das Netzwerkes nur überwacht wird, wenn NetResident läuft. Klicken
Sie auf [Weiter] und im nächsten Fenster auf [Beenden] um die Konfigurationseinstellungen zu sichern.
Bedienoberfläche
NetResident kann die gegenwärtigen Informationen unter Benutzung von Anzeigen darstellen, die mit dem Menüelement Ereignisse
=> Anzeigen gewechselt werden können. Die Programmansicht kann variieren in Apphängigkeit von der gewählten Ansicht, aber
grundsätzlich hat das Hauptfenster drei Sektionen, welche die Daten in einem strukturierten Format präsentieren, eine Filterung und
Sortierung der Netzwerkereignisse und einen schnellen Zugriff ermöglichen.
Hinweis: Abhängig von Ihren Sucheinstellungen kann das Programmhauptfenster verschiedene Register beinhalten: Das Register Alle
Daten zeigt alle erfassten Informatonen und die zu Ihren Suchgruppe(n) zugehörigen Register. Die Datenstruktur innerhalb der Register
wird weiter unten erklärt.
Die Gruppenansicht zeigt Netzwerkereignisse gruppiert nach deren Erscheinungsdatum, Netzwerkprotokollen und Hosts die sich mit
der Kommunikation beschäftigten. Aktivieren/Deaktivieren der Checkboxen neben den Gruppen wird die Ereignisse die zu den Gruppen
gehören in/aus die/der Sektion Ereignisliste ein-/ausschließen. Die Hosts sind in Teilnehmer gruppiert welche die an der
Kommunikation beteiligten Teilnehmer repräsentieren. Teilnehmer A beinhaltet alle IP-Adressen/Hostnamen auf der lokalen
Kommunikationsseite. Wenn Sie nur eine Netzwerkkarte benutzen um sich mit dem Internet zu verbinden, werden Sie nur einen Eintrag
unter diesem Teilnehmer haben. Jedoch, wenn Sie Ihr LAN-Adapter als Internetverbindungsmethode benutzen, aber gelegentlich auch
Ihr Modem, oder wenn Sie eine IP-Adresse haben, die Ihrem Computer jedesmal dynamisch zugeteilt wird wenn Sie sich verbinden,
werden Sie verschiedene Eintrage in diesem Teilnehmer haben. Teilnehmer B beinhaltet alle Fernhosts, die mit dem/den lokalen Host(s)
kommuniziert haben. Schauen Sie bitte für detaillierte Informationen in das Kapitel Datenverwaltung.
Die Exploreransicht ähnelt der Gruppenansicht, sie zeigt auschließlich Netzwerkereignisse nach Netzwerkprotokollen gruppiert. Wir
empfehlen diese Ansicht, wenn Sie die Ereignisse der spezifizierten Protokolle sehen möchten., z.B. all ICQ-Nachrichten für die
festgelegte Zeitspanne. Klicken Sie auf das Pluszeichen um Knoten aufzuklappen. Es ermöglicht Ihnen die gewünschten Ereignisse
auszuwählen und anzusehen. Bitte beziehen Sie durch Anordnung der Daten mehr Information. Schauen Sie bitte für detaillierte
Informationen in das Kapitel Datenverwaltung.
Die Ereignisliste zeigt eine Liste der verfügbaren Ereignisse mit folgenden Spalten:
Datum – Das Erscheinungsdatum des Ereignisses
Protokoll – Das Protokoll der Datenübertragung
Teilnehmer A, Teilnehmer B – Zeigt den Host der Daten gesendet und empfangen hat
Port A, Port B - Die für die Datenübertragung benutzten Ports
Letztes Update – Das Datum und die Zeit der letzten Ereignisaktualisierung
Beschreibung – Zeigt die Ereignisauswertung
ID – Ereignis-ID (standardmäßig unsichtbar)
Priorität – Anwenderdefinierte Ereignispriorität (standardmäßig unsichtbar)
Kommentar – Anwenderdefinierter Ereigniskommentar (standardmäßig unsichtbar)
Flags – Ereignis-Flags (standardmäßig unsichtbar)
Der Ereignisdetailbereich zeigt den aktuellen Inhalt des in der Ereignisliste gewählten Eintrags. Es kann immer nur ein Ereignis
angezeigt werden.
Das Hauptfenster besitzt ebenso einen Statusbereich zur Anzeige von Systemmeldungen, die durch das Programm erzeugt werden.
NetResident besteht aus zwei Teilen: Der NetResident-Konsole welche die Verbindung zum NetResident-Dienst herstellt, die Daten
verarbeitet, diese gruppiert und dem Anwender anzeigt und dem NetResident-Dienst, der das Netzwerk überwacht, Daten erfasst und
diese in die Datenbank zur Verarbeitung und Anzeige speichert.
NetResident benutzt Netzwerkprotokoll-Plugins zur Verarbeitung der gesammelten Daten. Sie können bestimmte Plugins aktivieren oder
deaktivieren um sicherzustellen, dass Sie nur die gewünschten Daten angezeigt bekommen.
Hauptmenü
Datei
Verbinden
Stellt eine Verbindung zum NetResident-Dienst her
Trennen
Trennt die Verbindung zum NetResident-Dienst
Datenbank verwalten
Startet den Datenbankverwaltungsassistenten
Logs importieren
Startet den Logimportassistenten
Beenden
Beendet das Programm
Suchen
Finden
Sucht die Ereignisse einer spezifizierten Zeichenkette
Erneut finden
Wiederholt die Suche
Neue Suchgruppe
Startet den Suchgruppenassisten
Suchgruppe löschen
Löscht die gegenwärtig aktive Suchgruppe
Suchgruppe bearbeiten
Bearbeitet die gegenwärtig aktive Suchgruppe
Ansicht
Statusfenster
Statusfenster ein-/ausblenden
Statusleiste
Statusleiste ein-/ausblenden
Ereignisse
Aktualisierung/ Aktualisierung
stoppen
Aktualisiert alle Ereignisse/stoppt den Aktualisierungsprozess
Filter
Ermöglicht Ereignisfilter zu setzen
Speichern
Speichert die aktuelle Ereignisliste oder Ereignisdetails in eine Datei
Löschen
Löscht ausgewählte Ereignisse aus der Datenbank
Ereignisdetail
Ereignisdetailbereich ein-/ausblenden
Ansichten
Wechselt die Hauptfensteransichten
Host-Anzeigemodus
Wechselt den Anzeigemodus der Hosts in der Gruppenansicht und im
Ereignislistenbereich
Werkzeuge
Kennnamen
Blendet den Kennnamendialog ein
Einstellungen
Blendet den Einstellungsdialog ein
Einrichtungsassistent
Startet den Einrichtungsassistenten
Anti-Switch Werkzeug
Startet das PromiSwitch-Programm
Sprachen
Ermöglicht eine Sprache für die Bedienoberfläche zu wählen
Hilfe
Inhalt
Startet die NetResident-Hilfe
Hilfeindex...
Blendet den Hilfeindex ein
Nach Updates im Web suchen...
Auf der TamoSoft-Webseite nach Programmaktualisierungen suchen
Info
Blendet das Programminformationsfenster ein
Datenverwaltung
NetResident ist eine mächtige Netzwerküberwachungsanwendung die ein detailliertes Abbild der Anwendernetzwerkaktivitäten darstellt.
In einem verkehrrsreichen Netzwerk können Sie hunderte oder tausende von Netzwerkereignissen, wie E-Mail-Nachrichten, Webseiten,
Sofortnachrichten, usw. sehen. Es ist unbedingt notwendig die gesuchten Ereignisdaten anzuordnen wenn Sie NetResident benutzen.
Wir haben verschiedene Filtermöglichkeiten eingebaut, die es Ihnen ermöglichen nur die für Sie interessanten Daten anzuzeigen.
NetResident besitzt Explorer- und Gruppenansichten welche die Netzwerkereignisse auf verschiedene Arten gruppieren. Wir
empfehlen Ihnen, sich beide Ansichten anzusehen und die für Sie beste Ansicht auszuwählen.
Der Gruppenansichtsbereich auf der linken Seite des Programmhauptfensters ermöglicht es die Netzwerkereignisse nach Datum,
Kommunikationsteilnehmern oder Netzwerk-Host zu filtern.
•
Datum – Aktivieren Sie die Checkbox neben dem Datum der Netzwerkereignisse die Sie interessieren. Ereignisse mit anderem
Erscheinungsdatum werden ignoriert und werden nicht im Ereignisansichtsbereich angezeigt. Bitte beachten Sie, dass das
deaktivieren der Checkboxen im Gruppenansichtsbereich die Daten nicht aus der Datenbank löscht. Sie können den
Gruppenansichtsbereich zur Anzeige anderer protokollierter Ereignisse erneut konfigurieren.
•
Protokolle – Aktivieren Sie die Checkbox der Protokolle die Ihnen angezeigt werden sollen. Wenn Sie zum Beispiel E-MailNachrichten ansehen möchten, wählen Sie bitte das Mail-Protokoll.
•
Teilnehmer A / Teilnehmer B – Ermöglicht es, die Netzwerkereignisse nach Teilnehmern der Netzwerkkommunikation zu
filtern. Sie finden präzise Netzwerk-Host-Angaben unter Teilnehmer A oder Teilnehmer B. Aktivieren oder deaktivieren Sie die
Checkbox neben den Teilnehmern um die Netzwerkereignisse dieser Hosts zu überwachen.
Beachten Sie bitte, dass Sie Filter kombinieren können: Beispielsweise, wenn Sie nur heruntergeladene Webseiten eines einzelnen
Servers an einem bestimmten Tag ansehen möchten, wählen Sie bitte das Datum im Datumsbereich, Web im Protokollbereich und
bestimmen Sie den Host im Bereich Teilnehmer B. Alle anderen Ereignisse, die diesen Kriterien nicht entsprechen werden ignoriert.
Ein flexibeler Datumsfilter ist unter Ereignisse => Filtermenü oder durch Klicken auf den Button Filterwerkzeugleiste verfügbar.
Sie können hier eine vordefinierte Zeitspanne definieren:
•
•
•
•
Heute – Zeigt alle heute aufgetretenen Netzwerkereignisse
Letzten Zwei Tage – Zeigt alle Netzwerkereignisse, die während der letzten zwei Tage auftraten
Letzte Woche - Zeigt alle Netzwerkereignisse, die während der letzten Woche auftraten
Letzter Monat - Zeigt alle Netzwerkereignisse, die während des letzten Monats auftraten
Die Auswahl von Alle Tage aus dem Menü, veranlasst das Programm alle Ereignisse der gesamten Überwachungsperiode anzuzeigen.
Sie können ebenso den Datumsbereich unter dem Menüpunkt Einstellbare Periode durch Auswahl von Von und Bis in der
zugehörigen Drop-Down-Liste festlegen.
Mehr erweiterte Filteroptionen sind unter dem Menüpunkt Ereignisse => Filter => Fortgeschrittene verfügbar. Sie können die
Ereignisse nach Netzwerkprotokollen oder Stationen filtern.
Die Plugin-Seite zeigt alle derzeitig installierten Plugins an. Aktivierte Plugins besitzen eine angekreuzte Checkbox neben ihrem Namen.
Wenn Sie nur einzelne Plugins benötigen (für den Fall, dass Sie nur Webseiten oder E-Mail einsehen wollen), schalten Sie unötige
Plugins ab, in dem Sie die zugehörigen Checkboxen deaktivieren. Wenn das ausgewählte Plugin zusätzlich Ebenenfilterung unterstützt,
können Sie diesen Filter wechseln, in dem Sie auf den Button [Wechseln] in der zugehörigen Spalte klicken. Bitte schauen Sie für
detailierte Plugin-Beschreibungen in das Kapitel Plugins.
NetResident ermöglicht Ihnen die empfangenen Daten nur von ausgewählten Stationen (Computern, Routern oder anderen im LAN
angeschlossenen Geräten) anzuzeigen. In diesem Fall, wird Ihnen NetResident nur den Datenfluss zwischen den in der Tabelle (Bereich:
Stationen) aufgeführten Computern anzeigen. Sie können andere Stationen hinzufügen, in dem Sie auf Nur Stationen aus der Liste
unten anzeigen auswählen, auf den Button [Hinzufügen] klicken und die IP-Adresse, den IP-Bereich oder die MAC-Adresse der Station
eingeben. Wenn Sie vorher Kennnamen zu Hosts zugewiesen haben, können sie auf den Button [Kennnamen auswählen] klicken und
wählen dann eine Station aus der Liste der Kennnamen. Sie können auch eine optionale Beschreibung für jede hinzugefügte Station
eingeben. Zum Editieren einer Station, wählen Sie diese aus und klicken auf den Button [Bearbeiten]. Zum Löschen einer Station aus
der Liste wählen Sie diese aus und klicken auf den Button [Löschen].
Klicken auf [OK] speichert die Filtereinstellungen oder klicken Sie auf [Abbrechen] um die Einstellungen zu verwerfen.
Wenn Sie die Filter temporär abschalten möchten ohne die Filtereinstellungen zu verwerfen, deaktivieren Sie die Checkbox Filter
einschalten.
Wichtig: Die Filtereinstellungen haben nur Auswirkungen auf die im Programmhauptfenster dargestellten Daten. Die Filtereinstellungen
ändern nicht die Datenerfassung oder das Speicherverhalten des Programms. Einstellungen zur Datenerfassung werden im Kapitel
NetResident-Konfiguration und Datenspeicherungsoptionen im Kapitel Datenbank-Management in diesem Handbuch beschrieben.
Der Explorer-Ansichtsbereich auf der linken Seite des Programmhauptfensters ermöglicht Ihnen Netzwerkereignisse nach
Netzwerkprotokollen zu filtern.
Klappen Sie den gewünschten Knoten auf, in dem Sie auf das Zeichen [+] links vom Knoten klicken. Wenn Sie Webseiten sehen
möchten, klappen Sie den Knoten Webseiten auf. Der aufgklappte Knoten ermöglicht Ihnen, die Netzwerkereignisse des spezifizierten
Protokolls nach Datum gruppiert einzusehen. Möchten Sie Netzwerkereignisse eines bestimmten Tages sehen, wählen Sie die
gewünschte Gruppe auf der linken Seite und schauen sich dann die Netzwerkereignisse auf der rechten Seite an. Die Explorer-Ansicht ist
ähnlich der Gruppenansicht, außer dass es Netzwerkereignisse gruppiert.
Netzwerkereignisse durchsuchen
NetResident zeigt den Datenaustausch des Netzwerkes in Form von Netzwerkereignissen. Beispiele für Ereignisse sind eine E-MailNachricht, eine via FTP heruntergeladene Datei, eine heruntergeladene Webseite oder eine ICQ-Sofortnachricht. Nachdem Sie die
Datenfiltereinstellungen konfiguriert haben, zeigt der Bereich Ereignisliste die rohe Ereignisliste, welche NetResident aus der
Datenbank ausgefiltert hat.
Jede Reihe in der Ereignisliste repräsentiert ein Netzwerkereignis.
Die Tabelle beinhaltet die folgenden Spalten:
•
Datum – Datum und Uhrzeit des Ereignisbeginns.
•
Letzte Aktualisierung – Datum und Uhrzeit letzten Ereignisaktualisierung.
•
Protokoll – Das für die Datenübertragung benutzte Netzwerkprotokoll. Die Namen, der für die Verarbeitung der jeweiligen
Ereignisse zuständigen Protokolle und Plugin-Module.
•
Teilnehmer A / Teilnehmer B – Sendende und empfangende Teilnehmer des Netzwerkdatenaustauschs. Ein Beispiel für
Teilnehmer kann ein Computer sein, der eine Webseite heruntergeladen hat und der Webserver, welcher die Webseite betreibt
oder ein Computer erhält E-Mails und der Mailserver, welcher die Mailbox betreibt.
•
Port A / Port B – Die benutzen Ports der Datenübertragung.
•
Beschreibung – Eine kurze Beschreibung des Netzwerkereignisses, welche die Größe des übertragenen Objektes beinhaltet.
•
ID – Ereignis-ID (standardmäßig unsichtbar)
•
Priorität – Anwenderdefinierte Ereignispriorität (standardmäßig unsichtbar)
•
Kommentar – Anwenderdefinierter Ereigniskommentar (standardmäßig unsichtbar)
•
Flags – Ereignis-Flags (standardmäßig unsichtbar)
Die in einer Verbindung mitwirkenden Teilnehmer A und Teilnehmer B können mit ihrer IP- oder MAC-Adresse oder über die mit der
Host-Adresse verbundene IP-Adresse des Teilnehmers angezeigt werden. Die Anzeigeeinstellungen können im Menü Ereignisse =>
Hosts-Anzeigemodus konfiguriert werden.
Sie können IP- oder MAC-Adressen mit leichtzumerkenden, visuell lesbaren Namen (Kennnamen) austauschen. Rechtsklicken Sie auf ein
Netzwerkereignis und wählen die Adresse aus dem Kontextmenü um einen Kennnamen für den Host des Teilnehmers A oder des
Teilnehmers B zu erstellen oder um die Kennnamenliste zu öffnen.
Speichern Sie die Ereignisliste in eine HTML-Datei durch Auswahl von Ereignisse => Liste speicher... oder klicken Sie auf den
zugehörigen Button in der Werkzeugleiste.
Um ein Netzwerkereignis im Bereich Ereignisdetails anzusehen, klicken Sie auf die Ereignisreihe in der Ereignisliste. Zum Ausblenden
des Bereichs Ereignisdetails, rechtsklicken Sie auf ein Ereignis und wählen Sie aus dem Kontextmenü Ereignisdetails.
Wichtig : Einige Spalten können in der Explorer-Ansicht ausgeblendet sein (ist abhängig von der gewählten Aufzeichnungsgruppe). Für
den Fall, dass das festgelegte Protokoll ausgewählt ist, wird die zugehörige Spalte mit dem Protokollnamen ausgeblendet.
Ereignisdetails ansehen
Der Bereich Ereignisdetails des Hauptfensters zeigt das rekonstruierte Netzwerkereignis. Zur Anzeige des Bereichs Ereignisdetails,
klicken Sie auf Ereignisse => Ereignisdetails oder rechtsklicken Sie auf ein Netzwerkereignis im Bereich Ereignisansicht und
wählen Sie Ereignisdetails aus dem Kontextmenü. Alternativ können Sie auf den zugehörigen Button in der Werkzeugleiste klicken, um
den Bereich Ereignisdetails einzublenden. NetResident’s Protokoll-Plugin’s verarbeiten die Daten und rekonstruieren die ganze
Webseite, E-Mail-Nachricht, Sofortnachrichtensitzung, usw.
Sobald ein Netzwerkereignis im Bereich Ereignisansicht des Hauptfensters gewählt ist, wird NetResident die Datenbank abfragen, die
Ereignisdetails rekonstruieren und das Ergebnis im Bereich Ereignisdetails einblenden. Dazu zeigt sich das Ereignis selbst, das
Programm zeigt nützliche Serviceinformationen über das Ereignis, wie HTTP-Dateiköpfe für Webseiten, E-Mail-Nachrichtenköpfe für EMail-Nachrichten und FTP-Sitzungsprotokolle für FTP-Datenübertragungssitzungen.
Der Bereich Ereignisansicht besitzt eine Werkzeugleiste und ein Menü welche unterschiedliche Optionen anbieten (abhängig vom Typ
des gewählten Ereignisses).
Sie können den Bereich Ereignisansicht im Programmhauptfenster durch Ziehen bewegen und an einem beliebigen Platz anordnen.
Um den Bereich zurückzusetzen, ziehen Sie den Bereich über das Hauptfenster, bis es sich selbst an eine Seite des Fensters andockt.
Um das automatische Andocken abzuschalten, rechtsklicken Sie auf den Fensterkopf und deaktivieren die Checkbox Automatisches
Andocken.
Das Menü des Bereichs Ereignisdetails bietet folgende Auswahlmöglichkeiten:
Interface-Einstellungen – Ermöglicht Schrifteinstellungen für die angezeigten Ereignisse vorzunehmen
Kopieren – Kopiert die ausgewählten Daten in die Zwischenablage
Alle auswählen - Wählt alle dem Netzwerkereignis zugeordneten Daten
Zusätzlich zu den allgemeinen Auswahlmöglichkeiten wie oben erwähnt, bietet jedes NetResident-Plugin plugin-spezifische
Auswahlmöglichkeiten (abhängig vom Netzwerkereignistyp), welche Sie in diesem Menü sehen können. Beispielsweise, die Option
Login/Password anzeigen, die das für E-Mail-Sitzungen nötige Login und Passwort anzeigt (nur für eingehende E-Mails); die Option
Köpfe anzeigen die HTTP-Sitzungsköpfe anzeigt (nur für Webseiten), usw.
NetResident konfigurieren
Die Einstellungen für NetResident sind im Menü Werkzeuge => Einstellungen verfügbar.Wenn Sie ein Neuling sind oder sich nicht
mit Netzwerken auskennen, empfehlen wir Ihnen den Einstellungsassistenten zu starten um Sie durch den Konfigurationsvorgang zu
führen.
Das Einstellungsfenster ermöglicht Ihnen, NetResident für Ihren Gebrauch einzustellen. Wählen Sie eine Kategorie aus dem Menü auf
der linken Fensterseite um die Optionen für jeden Menüpunkt einzustellen.
Interface: Allgemein
Ermöglicht die Schrifteinstellung für die Bedienoberfläche und die Einstellung des Aktualisierungsmodus.
Wenn Sie bevorzugen, dass NetResident im Hintergrund läuft, können Sie NetResident so konfigurieren, dass es minimiert ausgeführt
wird, wenn Sie die Checkbox Icon in der Systemablage anzeigen aktivieren. Zusätzlich können Sie die Option Bei Minimierung in
der Taskbar ausblenden aktivieren, wenn die Applikation bei Minimierung in der Taskbar ausgeblendet werden soll.
Bitte aktivieren Sie die Checkbox Automatische Aktualisierung einschalten um die Funktion für die Programmaktualisierung
einzuschalten. Ebenso können Sie den Intervall bestimmen, in dem NetResident nach Programmaktualisierung sucht: Geben Sie den
gewünschten Intervall in das Feld Intervall zwischen den Überprüfungen, (Tage) ein. Klicken auf den Button [Jetzt prüfen]
veranlasst NetResident direkt nach Programmupdates zu suchen.
Netzwork: Inbetriebnahme
Ermöglicht die Netzwerküberwachungsfunktion zu konfigurieren, die durch den NetResident-Dienst ausgeführt wird.
Falls Sie Ihr Netzwerk ständig überwachen möchten, wählen Sie bitte die Option Mit Windows starten. Wenn dieser Radio Button
ausgewählt wurde, wird NetResident nach dem Hochfahren von Windows gestartet und beginnt mit der Netzwerküberwachung. Sie
können NetResident jederzeit aufrufen und die Überwachungsergebnisse einsehen.
Falls Sie NetResident periodisch einsetzen und Ihr Netzwerk nicht permanent überwachen möchten, empfehlen wir die Option Nach
NetResident-Start auszuwählen. Das ermöglicht Ihnen, Festplattenplatz zu sparen und reduziert die CPU-Belastung. Bei der Auswahl
dieser Option, startet der NetResident-Dienst gemeinsam mit der NetResident-Applikation und beginnt die Netzwerküberwachung. Das
Sammeln der Netzwerkdaten wird eingestellt sobald Sie die Applikation schließen.
Netzwerk: Ziele
Die Option des Menü Ziele besitzt eine Drop-Down-Liste die eine Bestimmung des korrekten Netzwerkadapers für die
Netzwerküberwachung ermöglicht. Falls Ihr Computer eine Modemverbindung hat oder mittels einer Ethernetkarte mit dem LAN
verbunden ist, werden Sie nur ein Adapter in der Liste finden; wählen Sie dieses. Wenn Ihr Computer als Internet-Gateway für das LAN
fungiert oder mehr als ein Netzwerkadapter besitzt, müssen Sie das Adapter auswählen, welches Sie mit NetResident überwachen
möchten. Manche Netzwerkadapter können nicht im vermischten Modus arbeiten; wenn Sie solch ein Adapter benutzen, aktivieren Sie
bitte die Checkbox Kein vermischter Modus. Die Option muss immer für drahtlose Adapter gewählt werden. Für Modem- und VPNAdapter wählen Sie den WAN Miniport Adapter.
Um die Netzwerkdaten aller Computer des Netzwerkes zu analysieren, aktivieren Sie die Option Alle Stationen überwachen. Wenn
Sie in einem verkehrsreichen Netzwerk sind, kann der Stationsbereich begrenzt werden. Klicken Sie auf den Button [Erweitert] und
wählen den Optionsschalter Überwachung der aufgelisteten Stationen. Aktivieren Sie die Checkboxen neben den ausgewählten
Stationen. Falls der Button [Erweitert] ausgegraut ist, deaktivieren Sie die Option Überwachung aller Stationen und der Button
wird dann zur Verfügung stehen.
Überwachte Stationen
Sie können neue Stationen durch klicken auf den Button [Hinzufügen] und Eingabe der IP- oder MAC-Adresse oder eines Berichs von
IP-Adressen hinzufügen. Das Feld Beschreibung kann zur Eingabe von Informationen über die hinzugefügte Station benutzt werden.
Dieses Feld ist nicht verbindlich.
Klicken Sie auf [OK] um die Einstellungen zu sichern oder auf [Abbrechen] um die Änderungen zu verwerfen. Benutzen Sie die
Buttons [Bearbeiten] und [Löschen] zur Änderung oder Entfernung von Stationen auf der Liste. Wenn Sie temporär die Überwachung
einer bestimmten Station abschalten möchten, ohne diese aus der Liste zu entfernen, deaktivieren Sie die Checkbox neben dem Namen
der Station.
Sie können ebenso aktive Stationen durch klicken auf den Button [Aktive auswählen] hinzufügen und die durch NetResident
erkannten Stationen überprüfen.
Wählen Sie die gewünschten Adressen durch aktivieren der zugehörigen Checkbox und klicken Sie auf [OK]. Die ausgewählten Adressen
werden der Stationsliste zur Überwachung hinzugefügt.
Beachten Sie bitte, dass die Stationsliste unvollständig sein kann, weil einige Stationen nicht eingeschaltet sind oder sich ihre Adressen
geändert haben. Es können auch einige Stationen hinter Firewalls versteckt sein. Benutzen Sie diese Liste ausschließlich als Referenz.
Wenn Sie unsicher sind, welche Stationen Sie auswählen sollen, sollten Sie die MAC- oder IP-Adressen zur Identfizierung der
überwachten Stationen benutzen, schauen Sie auch in das Kapitel Häufig gestellte Fragen (FAQ). .
Netzwerk: Plugins
Diese Seite zeigt eine Auflistung der gegenwärtig installierten und durch NetResident benutzten PlugIns. Wenn Sie einige der Plugins
nicht benötigen, empfehlen wir Ihnen diese durch Deaktivierung der entsprechenden Checkbox abzuschalten um die CPU-Belastung und
Festplattenausnutzung zu reduzieren.
Sie können die interne Plugin-Filter zur Bestimmung zusätzlicher Filterkriterien benutzen, die dazu führen, die Anzahl der erfassten
Ereignisse zu reduzieren (und, natürlich, die Festplattenauslastung). Zur Änderung der Filtereinstellungen, klicken Sie auf den Button
[Ändern] des jeweiligen Plugins. Mehr detaillierte Informationen finden Sie im Kapitel Plugins dieses Handbuchs.
Hinweis: Nur Web- und Mail-Plugins besitzen gegenwärtig Plugin-Filter.
Netzwerk: Ports
Diese Seite ermöglicht die Portnummerneinstellung der durch NetResident für die Verkehrsüberwachung überwachten Ports.
Standardmäßig ist der NetResident–Dienst zur Überwachung des Verkehrs auf allen Ports (1-65535) eingestellt. Dieses gewährleistet,
dass alle möglichen Netzwerkdaten abgefangen werden. Allerdings wird erhebliche CPU-Zeit für die Verabeitung aller abgefangenen
Netzwerkpakete (ebenso unerwünschter Pakete) benötigt. Wenn Sie leistungsbezogene Probleme feststellen, versuchen Sie die Anzahl
der zum Abfangen benutzten Ports zu reduzieren. Beispielsweise, wenn Sie Verkehr in einem lokalen Netzwerk überwachen, auf dem der
meiste Verkehr durch Dateiübertragungen mittels Microsoft Windows von einem Computer auf einen Anderen stattfindet, können Sie
diesen Verkehr durch Eingabe der folgenden Zeile ausschließen:
139,445
Die Zeile oben schaltet die Überwachung der Ports 139 und 445 ab. Falls Sie nicht wissen, welche Ports keine leistungsbezogenen
Schwierigkeiten beim Lauf von NetResident verursachen, verändern Sie bitte keine Werte auf dieser Seite.
Sie können einen oder mehrere Ports durch Kommas getrennt oder einen Portbereich festlegen. Beachten Sie bitte, dass ein
Portausschluss auf Ursprungs- und Ziel-Port wirkt.
Netzwerk: Fernverbindungen
Diese Seite erlaubt Ihnen Fernverbindungen zum NetResident-Dienst herzustellen. Schauen Sie bitte für detaillierte Informationen in das
Kapitel Fernverbindungen zum NetResident-Dienst.
Netzwerk: Erweitert
Diese Seite ermöglicht die Konfiguration des Programmprotokollverhaltens (Loggnig). Die Option Serviceprotokoll einschalten ist
standardmäßig eingeschaltet und die Protokollierung ist auf keine Protokollierung eingestellt. Falls Sie Probleme mit NetResident
feststellen, kann das TamoSoft-Support-Team Sie bitten, die Service-Protokollebene zu ändern, wenn zusätzliche Informationen
erforderlich sind. NetResident-Servicenachrichten werden in die Datei DebugCWS.log im Installationsverzeichnis geschrieben und das
TamoSoft-Support-Team kann Sie bitten, diese Datei per E-Mail zu schicken. Beachten Sie bitte, dass die Protokolldatei beachtliche
Größe erreichen kann, wenn die Option Wortreich angewählt ist. Zippen Sie die Protokolldatei bevor Sie diese an den Kundenservice
schicken.
Die auf dieser Seite verfügbare Option Automatischer Import ist für das automatische Importieren der Protokolldateien mit erfasstem
Netzwerkverkehr vorgesehen. Zum Einschalten dieser Option, aktivieren Sie die Checkbox Automatischen Import aktivieren und
wählen das Verzeichnis mit den erforderlichen Protokolldateien.
Hinweis: Das Verzeichnis mit den zu importierenden Protokolldateien muss sich auf einem lokalen Laufwerk befinden, z.B. es muss sich
auf dem Computer befinden, auf dem der NetResident-Dienst arbeitet.
Datenbank: Allgemein
NetResident besitzt einen eigene Datenbank, die alle erfassten und analysierten Informationen beinhaltet. Die Datenbankdateien
befinden sich standardmäßig im Installationsverzeichnis der Applikation. Diese Seite ermöglicht Ihnen den Datenbankstandort, wenn
nötig zu wechseln. Wählen Sie das gewünschte Verzeichnis des neuen Datenbankstandortes aus und klicken Sie auf den Button
[Übernehmen].
Datenbank: Entwicklung
Weil die Datenbank Aufzeichnungen aller von NetResident erfassten Ereignisse beinhaltet, wächst diese mit der Zeit. Um die Belegung
von Speicherraum dieser Aufzeichnungen zu reduzieren, verringern Sie bitte die Programmleistung. Sie können den
Datenbankgrößenbegrenzungsmodus einschalten, in dem Sie die Checkbox Datenbankgröße begrenzen. Das Feld Ereignisse löschen,
älter als beinhaltet die Anzahl der Tage, an denen von NetResident Aufzeichnungen gesammelt werden. Ältere Aufzeichnungen werden
automatisch gelöscht. Alternativ können Sie ältere Aufzeichnungen auch archivieren, anstatt sie zu löschen. Um Ihre Aufzeichnungen zu
archivieren, aktivieren Sie die Checkbox Erstelle Archivkopien in und legen Sie den Pfad fest, wo Ihre Aufzeichnungen gespeichert
werden sollen. Benutzen Sie den Datenbankverwaltungsassistenten wenn Sie gespeicherte Archivaufzeichnungen rückspeichern
möchten.
Sie können Ihre Datenbank jederzeit automatisch bei Beendigung des Programms leeren, wenn Sie die Checkbox Datenbank bei
Programmende leeren aktivieren.
Erweiterte Suche
Manchmal ist es erforderlich, die Analyse erfasster Daten zu vereinfachen, dies ist der Punkt, an dem Sie die erweiterte Suche von
NetResident für brauchbar finden können. Die erweiterte Suche ermöglicht die Auswahl von Aufzeichnungen über interne Ereignisdaten,
die für jedes NetResident-Plugin spezifisch sind. Zwei Datentypen werden bei dieser Suche benutzt: Suchziel und Suchgruppe.
Das Suchziel ist ein einfaches Suchkriterium, dass von NetResident bei der Datenbankverarbeitung benutzt wird. Dies kann ein
Schlüsselwort in einem HTML-text, einer E-Mail, URL-Adresse … sein. Suchzieloptionen variieren bei jedem NetResident-Plugin.
Die Suchgruppe beinhaltet ein oder mehrere Suchziele, was eine Kombination verschiedener Suchkriterien ermöglicht.
Klicken Sie auf Suche => Neue Suchgruppe um eine neue Suchgruppe zu erstellen. Der Sucheinstellungsassistent helfen, mit
wenigen Mausklicks einen neuen Suchfilter zu erstellen. Klicken Sie auf [Weiter] im Startbildschirm fahren Sie mit dem
Suchgruppeneinstellungsbildschirm fort.
Zur Erstellung einer Gruppe müssen Sie einen einzigartigen Namen festlegen, wählen Sie [Suchgruppenlogik] und wählen Sie
Suchziele für die Suchgruppe aus. Bitte beachten Sie, dass den Suchgruppenname eingegeben haben, bevor alle anderen Optionen
verfügbar werden. Klicken Sie auf [Neues Suchziel] zur Erstellung eines neuen Suchziels und klicken Sie im Startbildschirm auf
[Weiter]. Wählen Sie einen Suchzielnamen, wählen Sie ein Plugin, das zur Suche benutzt werden soll und dessen Wert.
Tip: Es ist möglich verschiedene Werte gleichzeitig kommagetrennt einzugeben.
Die folgenden Optionen sind ebenso verfügbar:
Groß- und Kleinschreibung beachten – wenn diese Option gewählt wird, müssen die Ergebnisse Groß- und Kleinbuchstaben in exakt
der gleichen Weise enthalten, wie der im Feld Wert eingegebene Text.
Ganzes Wort – wird diese Option angewählt, dann werden Teilzeichenketten ignoriert, z.B. "sensibel" wird nicht länger mit "unsensibel"
übereinstimmen.
Für zukünftige Ereignisse übernehmen – wenn diese Option auswählen, wird die Suche nur auf neue Aufzeichnungen angewandt.
Andernfalls werden alle Aufzeichnungen in der Datenbank verarbeitet.
Hinweis: Jedes Suchziel erfordert eine zusätzliche Datenbankverarbeitung, versuchen Sie deshalb die Anzahl der Suchziele zu begrenzen
um Zeit- / Ressourcenverluste zu reduzieren. In anderen Worten, löschen Sie unnötige Suchziele, weil eine große Anzahl von Suchzielen
den Zeit- /Ressourcenkonsum vergrößert.
Jetzt klicken Sie auf [Weiter] und dann auf den Button [Beenden] um den Suchzielassistenten zu verlassen.
Wählen Sie die gewünschten Suchziele aus, indem Sie diese aus der Liste Verfügbare Suchziele auf die Liste Ausgewählte
Suchziele ziehen. Klicken Sie auf [Weiter] zur Auswahl des gewünschten Benachrichtigungstyps.
Das Fenster Suchgruppenbenachrichtungsauswahl ermöglicht Ihnen eine Aktionsauswahl festzulegen, die ausgeführt werden soll,
wenn der Suchgruppeninhalt mit den Suchkriterien übereinstimmt. Die folgenden Aktionen sind verfügbar:
•
Keine: Eine Benachrichtigung wird nicht ausgeführt.
•
Piepton: Der Comouter gibt ein akustisches Signal ab.
•
Datei abspielen: Spielt die angegebene WAV-Datei ab.
•
E-Mail senden an: Sendet eine E-Mail an die eingegebene E-Mailadresse. Bevor Sie E-Mails senden MÜSSEN Sie NetResident
zur Benutzng Ihres SMTP-Server konfigurieren. Benutzen Sie den Button E-Maileinstellungen um Ihre SMTP-ServerEinstellungen einzugeben. Natürlich kann eine E-Mailnachricht auch benutzt werden, um eine Alarmmeldung an Ihr
Sofortnachrichten-Programm, Handy oder Funkrufempfänger zu senden. Um z. B. eine Nachricht an einen ICQ-User zu
senden, geben Sie die E-Mail-Adresse als [email protected] ein, wobei ICQ_USER_UIN die eindeutige ICQIdentifikationsnummer ist. Dazu müssen die EmailExpress Messages in den ICQ-Optionen aktiviert sein. Für weiterführende
Informationen schauen Sie bitte in die Dokumentation Ihres Sofortnachrichten-Programms oder Handyanbieters. Das Feld EMailnachrichtentext kann zum Hinzufügen einer beliebigen Nachricht zu der E-Mailbenachrichtung benutzt werden.
•
Nachricht anzeigen: Blendet eine Benachrichtigung mit dem vorgegebenen Text ein.
•
Priorität einstellen: Legt die Priorität des Ereignisse fest.
•
Kommentar hinzufügen: Fügt dem Ereignis einen Kommentar hinzu.
•
Nachricht sprechen: Lässt Windows, unter Benutzung der Text-to-speech engine, die Nachricht sprechen. Standardmäßig
kommt Windows nur mit englischen Computerstimmen, sodass Windows nicht in der Lage ist, Nachrichtentext in anderen
Sprachen als englisch korrekt auszusprechen.
•
Mit Syslog schreiben: Sendet die Nachricht zu der spezifiziertenIP-Adresse unter Benutzung des Syslog-Protokolls.
•
SNMP-Fall senden: Sendet die Nachricht zur spezifizierten IP-Addresse unter Benutzung des SNMP-Protokolls. Die MIB-Datei
beinhaltet OID-Beschreibungen, die auf Anfrage verfügbar sind.
•
Applikation starten: Starte die angegebene Applikation (zusätzlich Befehlszeilenparameter werden unterstützt).
Falls Sie einige der Aktionen temporär abschalten möchten, deaktivieren Sie die entsprechenden Checkboxen.
Hinweis: Die Optionen Piepton, Datei abspielen, Nachricht sprechen, Applikation starten und Nachricht anzeigen, arbeiten nur wenn
NetResident aktiviert ist.
Wählen Sie den gewünschten Benachrichtgungstyp und klicken Sie auf [Weiter]. Die gerade erstellte Suchgruppe wird in der
Datenbank registriert und das zugehörige Register wird im Programmhauptfenster verfügbar. Alle Aufzeichnungen die mit dem(n)
Suchziel(en) übereinstimmen werden indiesem Register angezeigt.
Für den Fall, dass Sie eine Suchgruppe überarbeiten oder löschen möchten, benutzen Sie bitte die zugehörigen Elemente im Menü
Suche von NetResident.
Kennnamen
Kennnamen sind leichtzumerkende, visuell-lesbare Namen, welche MAC- oder IP-Adressen ersetzen, die in der Gruppen- und
Ereignisansicht im Programmhauptfenster angezeigt werden. Diese können die Wiedererkennung und Analyse von
Netzwerkereignissen erleichtern.
Sobald ein Kennname zu einer IP- oder MAC-Adresse zugeordnet ist, ersetze er die zugehörige Adresse in der Gruppen- und
Ereignisansicht des Hauptfensters. Sie können auswählen, wie die an der Kommunikation beteiligten Hosts angezeigt werden: als IPAdresse, als MAC-Adresse oder mit Host-Kennnamen. Die Konfiguration der Hostanzeige wird im Menü Ereignisse => HostAnzeigemodus durchgeführt.
Das Programm ist imstande IP-Adressen in Host-Namen aufzulösen. Aktivieren Sie Numerische IP-Adressen in Host-Namen
auflösen im Menü Ereignisse => Host-Anzeigemodus um die IP-Adressen-Auflösung einzuschalten.
Ein Kennname kann auch einem Bereich von IP-Adressen zugeordnet werden. Dies ist sehr bequem, weil es Ihnen ermöglicht, einen
Namen für eine Gruppe von Netzwerkgeräten einzusetzen – beispielsweise alle Computer in einem LAN.
Jeder Kennname ist einzigartig. Dennoch können Sie den selben Kennnamen zu verschiedenen MAC- oder IP-Adressen zuordnen,
dadurch erzeugen Sie eine Gruppe. Dies ist dienlich, wenn ein Computer verschiedene Netzwerkadressen besitzt und Sie all diese
Adressen in einem Namen identifizieren möchten.
Sie können Kennnamen hinzufügen, bearbeiten oder löschen wenn Sie auf Werkzeuge => Kennnamen klicken.
Klicken Sie auf den Button [Hinzufügen] um eine Station hinzuzufügen. Geben Sie den Kennnamen ein und klicken Sie auf den Button
[Hinzufügen]. Ein Dialog öffnet sich und fordert Sie auf die Adresse des Kennnamens einzugeben und seinen Type zu bestimmen: IPAdresse, IP-Adressenbereich oder MAC-Adresse. Wenn Sie einen Bereich von IP-Adressen eingeben möchten, wählen Sie den
Optionsschalter IP-Adressbereich und geben die Anfangs- und End-IP-Adresse für den Bereich in die zugehörigen Felder ein.
Klicken Sie auf den Button [OK] um die Kennnamenliste zu aktualisieren oder auf den Button [Abbrechen] um die Änderungen zu
verwerfen. Sie können einen Kennnamen bearbeiten, in dem Sie diesen auswählen und auf den Button [Bearbeiten] oder [Löschen]
klicken.
Sie können gleichfalls Kennnamen auf Hosts übertragen, in dem Sie auf ein Netzwerkereignis in der Ereignisansicht des Hauptfensters
rechtsklicken und einen zugehörigen Begriff aus dem Kontextmenü auswählen.
Paketprotokolldateien importieren
NetResident benutzt seine Überwachungs- und Protokollfähigkeiten zur Netzwerkdatenanalyse und –präsentation. Es ermöglicht Ihnen
allerdings auch den Import von erfassten Paketdateien anderer TamoSoft-Netzwerküberwachungsapplikationen: CommView und
CommView for WiFi und ebenso von einigen anderen Drittherstellerüberwachungsapplikationen.
Starten Sie den Importassistenten durch klicken auf Datei => Logs importieren. Sie werden aufgefordert die Importdatei und die
Importeinstellungen zu konfigurieren. Die importierte Datei kann einige Zeit vorher aufgenommen worden sein und Sie können die Datei
mit dem aktuellen Datum zugeordnet auf alle Protokollereignisse der Logdatei importieren. Andernfalls werden alle Daten mit dem
Originaldatum in Übereinstimmung mit dem internen Zeitstempel der Logdatei importiert.
Hinweis: Diese Option ist nicht für alle Logdateitypen verfügbar.
Wichtig: Einige oder alle Ereignisse der Logdatei können direkt nach dem Import aus der Datenbank gelöscht werden, weil die
Applikation so eingestellt werden kann, dass alte Ereignisse gelöscht werden. Wenn der Zeitstempel in der Logdatei älter als die
festgelegte Anzahl von Tagen in den Programmeinstellungen ist, erwägen Sie beim Import der Logdatei das aktuelle Datum zu benutzen
oder den Ereigniszeitrahmen in den Programmeinstellungen zu vergößern. Schauen Sie bitte für mehr Information in die
Datenbankbeschreibung: Datenbankentwicklung.
Sie können auch nur die Ereignisse importieren die Sie interessieren, anstatt die ganze Logdatei zu importieren. Aktivieren Sie die beim
Import, die Checkbox Aktuelle Dienstfilter beim Import benutzen. Der Importassistent wird dann die aktuellen Filtereinstellungen
des NetResident-Dienst benutzen.
Stellen Sie bitte sicher, dass die aktuellen Gruppenanzeige und Filtereinstellungen NetResident erlauben, die importierten Daten
anzuzeigen. Andernfalls sind Sie nicht der Lage die erfolgreich in die Datenbank importierten Daten im Hauptfenster zu sehen, bevor Sie
die Einstellungen ändern.
Klicken Sie auf den Button [Weiter] um die ausgewählte Datei zu importieren. Sie können warten bis der Import abgeschlossen ist oder
klicken Sie auf den Button [Fertigstellen], um den Import im Hintergrund durchzuführen. In diesem Fall wird das Programm Sie
informieren, wenn der Import erledigt ist. Der Import kann jederzeit durch Klicken auf den Button [Abbrechen] abgebrochen werden.
NetResident unterstützt den Import von Log-Dateien über eine Befehlszeile. Wenn Sie beim Import die Befehlszeile benutzen möchten,
starten Sie NetResident und spezifizieren den Log-Dateinamen als ersten Befehlsnamenparameter. Beachten Sie bitte, dass der LogDateiname mit vollem Pfad eingegeben werden muss.
Wichtig: Enthält ein Dateiname oder dessen Pfad Leerzeichen, so müssen diese mit Anführungszeichen eingeschlossen werden (" ").
Beispiele:
NETRESIDENT.EXE C:\mylog.ncf
NETRESIDENT.EXE D:\DATA\"October 12.cap"
NETRESIDENT.EXE D:\"Captured data\log file.pkt"
Hinweis: Die Funktion Logdatei importieren ist nicht für Anwender der Lite-Version verfügbar.
Datenbankverwaltung
Alle erfassten und analysierten Netzwerkinformationen sind in der NetResident-Datenbank gespeichert. Die Datenbank kann eventuell so
groß werden, dass Sie Auswirkungen auf die Programmleistung nimmt. Die Aufzeichnungen veralten mit der Zeit. Unter diesen
Umständen empfehlen wir Ihnen, nicht benötigte Aufzeichnungen mit dem Datenbankverwaltungsassistenten zu entfernen.
Klicken Sie auf Datei => Datenbank verwalten um den Datenbankverwaltungsassistenen zu starten.
Klicken Sie auf den Button [Weiter] um den aktuellen Datenbankstatus, ihre Größe und die Anzahl der Aufzeichnungen anzuzeigen.
Wählen Sie auch den Arbeitsgang, der mit der Datenbank durchgeführt werden soll.
Sehen Sie sich auf dieser Seite die aktuellen in der NetResident-Datenbank gespeicherten Netzwerkereignisse an. Die Spalte Datum
ermöglicht Ihnen, Aufzeichnungen über das Datum (Jahr, Monat, Tag) zu finden. Die aufgezeichneten Netzwerkereignisse werden
eingeblendet. In der Spalte Aufzeichnungen wird die Anzahl der Ereignisse, bezogen auf die in der Spalte Datum eingetragene
Periode, angezeigt. Um alle Netzwerkereignisse der Datenbank zu löschen, wählen Sie die Option Alle löschen oder um die
Aufzeichnungen einer festgelegten Periode zu löschen (Tag, Monat, Jahr), aktivieren Sie die zugehörige Checkbox und wählen Sie die
Option Auswahl löschen.
Wichtig: Die Aufzeichnungen werden permanent gelöscht und können nicht wiederhergestellt werden!
Wenn Sie die Datenbank zur späteren Nutzug auf einem anderen Computer sichern möchten, wählen Sie bitte Datenbank
exportieren. NetResident wird die Datenbank in eine Datei speichern, die dann später durch Auswahl der Option Dantenbank
importieren wieder angesehen werden kann.
Hinweis: Datenbankexport schreibt alle Ereignisse der Datenbank in eine Datei. Datenbank import löscht alle Aufzeichnungen in der
aktuell geladenen Datenbank!
Falls Sie Daten aus einem Archiv wiederherstellen müssen, wählen Sie die Option Von Archiv wiederherstellen. Beachten Sie, dass
Ereignisdaten auch von einem Archiv importiert werden können, Sie müssen deshalb die Filteroptionen für die anzuzeigenden
Aufzeichnungen ändern. Wenn die Option zur Datenbankgrößenbeschränkung eingeschaltet ist, werden Ereignisaufzeichnungen
automatisch am Ende des Tages archiviert und das Archiv könnte doppelte Aufzeichnungen beinhalten. Um diesem Umstand
vorzubeugen, müssen Sie die Option zur Datenbankgrößenbeschränkung abschalten oder die erforderlichen Aufzeichnungen manuell
löschen.
Wählen Sie den benötigten Arbeitsgang und klicken Sie auf den Button [Weiter]. Falls Sie Import- oder Exportoptionen auswählen,
werden Sie nach einem Datenbankdateinamen gefragt. Wenn die Option Vom Archiv wiederherstellen gewählt wird, müssen Sie
angeben, welches Archivverzeichnis die AUfzeichnungen für das erforderliche Datum enthält. Datenbankwartung kann einen erheblichen
Zeitaufwand erfordern. Die Datenüberwachung und –protokollierung pausieren solange Änderungen in die Datenbank eingegeben
werden.
NetResident-Dienst
Der NetResident-Dienst läuft bei der Verkehrserfassung im Hintergrund, analysiert diesen und fügt ihn in die Datenbank ein. Der Dienst
startet nach dem Hochfahren von Windows und ist immer aktiv. Abhängig von den Programmeinstellungen wird der Verkehr immer
erfasst oder nur, wenn NetResident getartet ist. Dieses Verhalten wird im Menü Werkzeuge => Einstellungen oder Netzwerk =>
Inbetriebnahme konfigurieren. Schauen Sie bitte für detaillierte Informationen in das Kapitel Netzwork: Inbetriebnahme dieser
Anleitung.
Normalerweise müssen Sie den NetResident-Dienst nicht manuell starten oder stoppen. Sollten Sie dies benötigen, können Sie den
Dienst von der Programmgruppe aus kontrollieren (Stop- / Start-NetResident-Servicepunkte) oder in der Systemsteuerung =>
Verwaltung => Dienste.
Fernverbindungen zum NetResident-Dienst
Hinweis: Schauen Sie bitte in das Kapitel Häufig gestellte Fragen (FAQ) bezüglich Informationen über die Lizenzverteilung des
NetResident-Dienstes und Bedienoberfläche beim Einsatz auf verschiedenen Computern.
Wie vorher erwähnt, besteht NetResident aus zwei Teilen: Der NetResident-Bedienoberfläche, die zum NetResident-Dienst verbindet,
Daten verarbeitet, diese gruppiert und dem Anwender präsentiert und dem NetResident-Dienst, der das Netzwerk überwacht, Daten
erfasst und in die Datenbank zur Verarbeitung und Anzeige speichert. Die Verbindung zwischen Bedienoberfläche und Dienst wird über
TCP/IP gebildet, was bedeutet, dass Sie sich auf jedem laufenden Computer mit dem NetResident-Dienst verbinden können, solange sie
sich über TCP/IP zu ihm verbinden können und Sie das Passwort kennen.
Wenn Sie NetResident starten, wird eine Verbindung zu dem zuletzt verbundenen NetResident-Dienst hergestellt (standardmäßig ist dies
der lokale PC). Führen Sie Folgendes durch, wenn Sie sich mit einem anderen NetResident-Dienst verbinden möchten:
•
•
•
•
•
Klicken Sie auf Datei => Trennen - um sich von dem gegenwärtig verbundenen NetResident-Dienst zu trennen.
Klicken Sie auf Datei => Verbinden.
Wählen Sie die Option Mit lokalem Dienst verbinden wenn Sie sich mit dem Dienst auf Ihrem lokalen Computer verbinden
möchten. Wenn Sie sich zu NetResident auf einem entfernten Computer verbinden möchten, wählen Sie die Option Zu
Ferndienst verbinden.
Wenn Sie die Option Zu Ferndienst verbinden wählen, geben Sie in die Felder Entfernter Dienst und Passwort die IPAdresse und das Passwort des zu verbindenden Computers ein.
Klicken Sie auf [OK].
Beachten Sie bitte, dass Fernverbindungen zum NetResident-Dienst standardmäßig aus Sicherheitsgründen abgeschaltet sind. Um diese
Option einzuschalten, sollte NetResident auf dem zu verbindenden Computer richtig konfiguriert sein. Zur Konfiguration von NetResident
starten Sie das Programm und wählen Sie Tools => Netzwerk => Fernverbindung. Aktivieren Sie die Checkbox Fernverbindung
zu diesem Dienst erlauben und geben Sie das Passwort für diese Verbindung in das Feld Passwort ein. Bestätigen Sie das Passwort
durch nochmalige Eingabe in das Feld Passwort bestätigen und klicken Sie auf [OK].
Hinweis: Sie werden niemals nach einem Passwort gefragt, wenn Sie sich zum lokalen NetResident-Dienst verbinden.
Plugins
NetResident benutzt ein Protokollmodul-Pluginsystem zur Verarbeitung und Anzeige von Netzwerkereignissen. Jedes Plugin ist zuständig
für die Verarbeitung eines Netzwerkprotokolls oder einer Anzahl von Protokollen. Das NetResident-Installationspaket wird mit den
folgenden Protokoll-Plugins ausgeliefert:
•
•
•
•
•
•
•
•
•
•
•
•
Web – verarbeitet die Datenübertragungen über das HTTP-Protokoll. Dieses Plugin ist für die Anzeige von Webseiten
zuständig.
Mail – verarbeitet die Datenübertragungen über POP3-, SMTP- und IMAP-Protokolle. Diese Protokolle werden von E-MailClients und Server-Software für E-Mail-Nachrichtenaustausch benutzt.
News
–
verarbeitet
die
Datenübertragungen
über
das
NNTP-Protokoll.
Dieses
Protokoll
wird
für
Newsgruppennachrichtensendungen und -anzeigen benutzt.
ICQ/AIM – verarbeitet die Datenübertragungen über ICQ- und AOL-Sofortnachrichten-Protokolle.
MSN – verarbeitet die Datenübertragungen über das MSN-Sofortnachrichten-Protokoll Version 8.
FTP – verarbeitet die Datenübertragungen über das FTP-Protokoll, welches zum Herunter-/Heraufladen von Dateien von/nach
FTP-Servern benutzt wird.
Yahoo – verarbeitet die Datenübertragungen über das Yahoo-Sofortnachrichten-Protokoll.
Jabber – verarbeitet die Datenübertragungen über das XMPP-Protokoll. Dieses Protokoll wird benutzt für Sofortnachrichten
verschiedener Jabber-Clients inklusive Google Talk. Beachten Sie bitte, dass das Jabber-Plugin keine SSL-verschlüsselten
Nachrichten erfassen kann.
IRC – verarbeitet die Datenübertragungen über das Internet Relay Chat-Protokoll.
Telnet – verarbeitet die Datenübertragungen über das Telnet-Protokoll.
VoIP – verarbeitet die Datenübertragungen über das SIP-Protokoll unter Benutzung von RTP Voice Streams.
WebMail – verarbeitet E-Mailnachrichten, die über das Web-Interface von web-basierten Mail-Systemen gesendet oder
empfangen wurden.
.
Hinweis: Das Abspielen von erfassten Voice Streams ist für Lite-Lizenz-Anwender nicht verfügbar.
Die Plugin-Module befinden sich im Installationsverzeichnis im Unterverzeichnis Plugins. Standardmäßig sind alle Plugins eingeschaltet
und aktiv, z.B. die Plugins verarbeiten Netzwerkdaten und speichern diese in die Datenbank. Wenn Sie nicht an der Verarbeitung und
Speicherung der Datenübertragung eines bestimmten Protokolls interessiert sind, können Sie das zugehörige Plugin abschalten um die
CPU-Belastung und Festplattenspeicherausnutzung zu reduzieren.
Zusätzliche Plugin-Module von TamoSoft können zu NetResident hinzugefügt werden, sobald diese verfügbar sind. Kopieren Sie die
Plugin-Moduldatei in das Unterverzeichnis Plugins im Installationsverzeichnis. Nach dem Hinzufügen eines Plugins, starten Sie den
NetResident-Dienst erneut um das neue Modul zu laden. Klicken Sie dazu auf den Menüpunkt Stop NetResident-Dienst / Start
NetResident-Dienst in der NetResident-Programmgruppe um den Dienst erneut zu starten.
Einige NetResident-Plugins können konfiguriert werden, erfasste Ereignisse auszublenden (sie werden nicht in der Ereignisliste
angezeigt, aber in der Datenbank gespeichert) oder Ereignisse während der Erfassung völlig auszufiltern (sie werden weder in der
Datenbank gespeichert noch angezeigt). Der letzte Typ wird als "Erfassungsfilter" bezeichnet.
Zur Konfiguration eines Plaugins zur Ausblendung eines Ereignisses, wählen Sie Ereignisse => Filter => Erweitert. Ghen Sie zum
Plaugin-Register. Wählen Sie das erforderliche Plugin und klicken Sie auf den Button [Ändern]. Zur Konfiguration von
Erfassungsfilterung, wählen Sie Werkzeuge => Optionen und klicken Sie auf Plugins. Wählen Sie das gewünschte Plugin und klicken
Sie zur Änderung der Einstellungen auf den Button [Ändern]. Die folgenden Optionen sind verfügbar:
HTTP-Plugin-Filter
Die Anzeige von Webseiten erfordert von einem Browser eine große Menge von Zusatzdateien automatisch zu laden, wenn eine
Webseite geöffnet wird. Das Ziel dieses Filters ist die Ausblendung aller Zusatzdateien zum Zweck der Anzahlreduzierung angezeigter
Aufgezeichnungen.
Bitte aktivieren Sie die Checkbox Filterung einschalten, damit die HTTP-Filter aktiv werden. Wenn Sie diese Filter temporär abschalten
möchten, deaktivieren diese Checkbox.
Die Liste Anzeige der folgenden Typen ermöglicht Ihnen die Dateitypen zu spezifizieren, welche als Netzwerkereignis (oder auch
nicht, abhängig von den Einstellungen) angezeigt werden.
•
•
•
•
•
•
Textdateien – Text- und HTML-Dateien (Webseiten)
Bilder – Bilder
Bekannte Dateien – Archive (.zip, .rar, .arj, usw.), MS-Office-Dokumente (.doc, .xls) und andere bekannte Dateien werden
nicht angezeigt, wenn diese Checkbox aktiviert ist.
Audiodateien - Audiodateien
Videodateien - Videodateien
Alle anderen – jeder andere Dateityp
Deaktivierung der zugehörigen Checkboxen läßt NetResident die betreffenden Dateien aus der Ereignisliste ausblenden. Beispielsweise,
wenn Sie die Checkbox Bilder deaktivieren, sind Sie nicht in der Lage irgendein Bild in der Liste zu sehen. Durch Deaktivierung der
zugehörigen Checkboxen entfernt NetResident die betreffenden Dateitypen aus der Liste. Falls Sie alle deaktivieren werden Sie
überhaupt keine HTTP-Netzwerkereignisse sehen.
Minimum Bildgröße, Kb – Diese Option setzt die minimale Größe fest, die ein Bild haben muss um angezeigt zu werden. Die meisten
Bilder im Web (abgesehen von Fotos) sind sehr klein. Wenn Sie möchten, dass NetResident Bilder anzeigt, Sie aber keine Banner und
Seitenelemente sehen möchten, geben Sie den benötigten Wert in diesem Feld ein.
Fehlerhafte Antworten ignorieren – Falls aktiviert, blendet diese Option fehlerhafte Anfragen/Antworten aus (die meisten Anwender
sollten diese Option einschalten um die Anzahl von Junk-Aufzeichnungen zu reduzieren).
Ein anderer Teil des HTTP-Filters ist die Seitenadressfilterung. Er ermöglicht Ihnen spezifische Seiten auszublenden unter Benutzung des
Seitennamens als Filterkriterium.
g
Folgende Seiten ausblenden – Seitenadressfilterung ein-/ausschalten
Wenn die Seitenadressfilterung eingeschaltet ist, wird der Filter alle Seiten auf die das Filterkriterium zutrifft (im Bereich
Seitenadressfilterung spezifiziert) angewandt. Benutzen Sie bitte die folgende Syntax zur Festlegung von Filterkriterien:
. – jedes Symbol
\. – für den Punkt
\d – für Zahlen (von 0 bis 9)
NetResident benutzt standardmäßig reguläre Ausdrücke zur Filterung. Sie finden mehr Informationen bezüglich regulärer Ausdrücke und
deren Syntax unter http://www.regular-expressions.info/reference.html
Beispielkriterien:
Google\.com – Blendet Seiten aus, deren Domain-Name "google.com" beinhaltet.
www\.google\.com – Blendet www.google.com aus.
\.org$ – Blendet alle Seiten der ORG-Domain aus.
\d – Blendet alle Seiten aus, deren Domain-Namen eine Zahl enthält.
Hinweis: Wenn Sie nur den Domain-Namen als Kriterium festlegen (.org, .com, usw.) sollte das Schriftzeichen $ ans Ende der
Zeichenkette gesetzt werden.
Um ein Filterkriterium hinzuzufügen, klicken Sie bitte auf den Button [Hinzufügen] auf der rechten Seite des Fensters.
Das Fenster Aufzeichnung hinzufügen wird geöfnet. Legen Sie ein bitte ein benötigtes Kriterium fest und klicken Sie auf den Button
[OK]. Das Fenster wird geschlossen und die betreffende Aufzeichnung wird der Filterkriterienliste hinzugefügt.
Um eine Eintragung zu entfernen, wählen Sie diese bitte in der Liste an und klicken auf den Button [Entfernen]. Um eine Eintragung zu
bearbeiten, wählen Sie die betreffende Eintragung und klicken auf den Button [Bearbeiten].
HTTP-Erfassungsfilter
Der Gebrauch des Filters ist ähnlich zu dem vorhergehenden, ausgenommen, dass er Ereignisse ausfiltert, bevor diese in die Datenbank
gespeichert werden. Dies reduziert die Größe des erforderlichen Festplattenplatzes und CPU-Belastung während der
Datenbankaufbereitung.
Aktivieren Sie die Checkbox Filterung einschalten, damit die HTTP-Filter aktiv werden. Wenn Sie diese Filter temporär abschalten
möchten, deaktivieren diese Checkbox.
Aktivieren Sie die Checkbox SSL-Sitzungen auslassen zur Abschaltung der Erfassung von HTTPS-Sitzungen.
Das Fenster Seitenadressfilterung ermöglicht Ihnen eine Auflistung von URL's zu konfigurieren, welche die Applikation filtern soll. Mehr
Information über die Syntax zur Spezifizierung von Filterkriterien (normale Ausdrücke) wird oben erklärt. Zwei Filtermodi sind verfügbar:
Nur Ereignisse erfassen, die den Filterkriterien entsprechen (die Option Nur die folgenden URL's erfassen) oder alle Ereignisse
erfassen, ausgenommen solche, die den Filterkriterien entsprechen (die Option Alle außer den folgenden URL's erfassen).
Mail-Erfassungsfilter
Dieser Filter dient zur Filterung von E-mail-Nachrichten und ist dem vorherigen Filter in der Funktionalität ähnlich.
Zur Aktivierung des Mail-Erfaasungsfilters aktivieren Sie die Checkbox Filterung aktivieren. Wenn Sie diese Filter temporär abschalten
möchten, deaktivieren diese Checkbox.
Ereignisse können über den Sender/Empfänger ausgefiltert werden und über Schlüsselwörter aus dem Nachrichtentext. Boolean Logik
(AND/OR) wird zur Kombinierung von Filterbedingungen benutzt. Mehr Information über die Syntax zur Spezifizierung von Filterkriterien
(normale Ausdrücke) wird oben erklärt. Dieser Filter ermöglicht entweder die Erfassung aller Mail-Nachrichten die den Filterbedingungen
entsprechen (die Option Nur das folgende erfassen) oder alle Ereignisse erfassen, ausgenommen solche, die den Filterbedingungen
entsprechen (die Option Alle ausser den folgenden erfassen).
PromiSwitch Tool
Hinweis: Sie benutzen dieses Werkzeug auf eigenes Risiok. Benutzen Sie niemals dieses Werkzeug in dem Netzwerk an dem Sie
angeschlossen sind, wenn Sie nicht der Netzwerkadministrator sind. Die Benutzung dieses Werkzeuges kann die
Netzwerkverbindungsfähigkeit stören. Es steht kein technischer Support für dieses Werkzeug zur Verfügung.
Das PromiSwitch Tool wurde entwickelt zur Beschaffung von Netzwerksichtbarkeit in switch-basierten Netzwerken, in denen keine
Portspiegelungsoption in den verwendeten Switches vorhanden ist. Schauen Sie bitte in unser White Paper Promiscuous Monitoring in
Ethernet and Wi-Fi Networks für detaillierte Informationen zu diesem Thema. Dieses Werkzeug wird unter Ausnutzung der
Schwachstellen des ARP-Protokolls versuchen die Netzwerksichtbarkeit sicherzustellen. Es wird dringend empfohlen, wenn möglich eher
die Portspiegelung zu benutzen als das PromiSwitch Tool.
Starten Sie PromiSwitch und wählen Sie das betreffende Netzwerkadapter, welches für die Stationsspiegelung benutzt werden soll.
Kennzeichnen Sie den benötigten IP-Bereich, durch ausfüllen von Scan von: und Scan nach: Klicken Sie dann auf den Button [Start].
Zum Abbruch des Scanprozesses, klicken Sie auf den Button [Stop]. Nach dem das Scannen abgeschlossen ist, werden die erkannten
Stationen (inklusive ihrer IP- und MAC-Adresse) in der Liste angezeigt.
Aktivieren Sie die zugehörigen Checkboxen der Positionen, welche Sie überwachen möchten und klicken Sie auf den Button [Start]. Das
PromiSwitch Tool wird periodisch spezielle Netzwerkpakete senden um Stationen auszuwählen. Dies wird den Verkehr zwischen dem
Gateway und den ausgewählten Stationen zu Ihrem Arbeitsplatz umleiten und beschafft die Netzwerksichtbarkeit. Sie können auch den
internen Verkehr zwischen jedem Stationspaar zu Ihrem Arbeitsplatz umleiten, in dem Sie Intern in der Verkehrs-Drop-Down-Liste
anwählen und zwei Stationen auswählen.
Das Einstellungsfenster erlaubt Ihnen, einige Programmeinstellungen zu ändern, wie Stationsliste bei neuem Scan leeren,
Automatische Paketsendung bei Programmstart und dem Intervall zischen Paketen.
Referenz
Häufig gestellte Fragen
In diesem Kapitel finden Sie Antworten zu den meisten, häufig gestellten Fragen. Die aktuelle FAQ ist immer unter
http://www.tamosoft.de/products/netresident/faq.php verfügbar.
F. Was ist der Unterschied zwischen NetResident Lite und NetResident Pro?
A. Zwei Lizenztypen sind für NetResident verfügbar: Lite und Pro.
•
Pro: Alle Funktionen sind verfügbar.
•
Lite: Alle Funktionen sind verfügbar, mit Ausnahme von VoIP-Unterstützung und die Fähigkeit Paketprotokolldateien anderer
Applikationen zu importieren.
F. Ich plane den NetResident-Dienst auf einem Computer zu installieren und dann unter Benutzung der
Bedienoberfläche eines anderen Computers zu dem Dienst zu verbinden. Was soll ich tun um dem Lizenzabkommen
nachzukommen?
A. Gemäß dem EULA, erlaubt Ihnen eine Einzelanwenderlizenz eine Kopie von NetResident in einem Anwenderkonto des
Operationssystems zu benutzen. Installation und Benutzung auf verschiedenen Computern, ungeachtet der Installation oder der
Benutzungsart (Dienst oder Bedienoberfläche) erfordert, dass Sie sich entsprechend der Anzahl von Installationen, Lizenzen beschaffen.
F. Mein HTTP-Plugin zeigt HTML-Seiten nicht immer korrekt an. Beispielsweise werden einige Bilder nicht angezeigt.
Warum ist das so?
A. Eine typische HTML-Seite repäsentiert eine Kollektion von Dutzenden unabhängigen Objekten – HTML-Code, Bilder, CSS styles und
anderen. Ein Browser fordert jedes dieser Objekte an; allerdings werden die meisten dieser Objekte zwischengespeichert (zur späteren
Benutzung auf die Festplatte gespeichert) und werden somit nicht jedesmal vom Netzwerk angefordert, wenn eine Webseite angesehen
wird. NetResident hat keinen Zugang zu Ihrem Browser-Zwischenspeicher; deshalb kann es diese Okjekte nicht „sehen“. Dies ist kein
Problem mit NetResident; Sie können die Webseite immer in Ihrem Browser neu laden (Sie müssen ein komplettes Neuladen
durchführen, in MSIE wird dies durch Klicken auf den Button [Aktualisieren] und gedrückthalten der Taste [Shift] erreicht. Dies
ermöglicht NetResident alle Webseitenelement zu protokollieren und zu speichern.
F. Welche Adresse (IP-oder MAC) soll ich zwecks Identifizierung einer Station benutzen, die ich überwachen möchte?
A. Falls Sie DHCP in Ihrem Netzwerk eingeschaltet haben, wird jedem Computer mit einer einzigartigen MAC-Adresse in jeder Sitzung
eine andere IP-Adresse zugewiesen. In diesem Fall sollten Sie Ihre Stationen durch MAC-Adressen identifizieren. Dies wird das
Programm anweisen alle Netzwerkereignisse zuzuordnen, in denen die festgelegte MAC-Adresse die bestimmte Station darstellt und
verhindern, dass die Stationsliste überläuft. In einigen Fällen können Sie auf unterschiedliche MAC-Adressen für jeden Host treffen.
Wenn Sie ihrem Netzwerkadapter und anderen Stationen im LAN statische IP-Adressen zugewiesen haben, sollten Sie IP-Adressen zur
Identifizierung der Stationen verwenden. Wir empfehlen die Benutzung von Kennnamen für MAC- und IP-Adressen, diese erleichtern die
Wiedererkennung und Analyse der Netzwerkereignisse erheblich.
F. Wenn ich versuche Logdateien von CommView oder CommView for WiFi zu importieren, bin ich nicht in der Lage den
Inhalt einiger Dateien anzuzeigen. Ich glaube, ich habe alle Parameter bzgl. der Ereignisansicht und –filterung korrekt
eingestellt.
A. Es ist wichtig, zu verstehen, dass die Importdurchführung und der Inhaltanzeigemechanismus jeweils eigene Filter besitzen. Als Sie
die Datei importierten, wurde der Inhalt möglicherweise während der Importphase ausgefiltert, wenn Sie Filter angewandt haben.
Sobald die Importphase vorbei ist, benutzt die Applikaton den Anzeigefilter zur Darstellung des Inhalts. Hier ist eine Chance, dass die
Applikation konfiguriert ist, nur die Daten darzustellen, welche in den letzten zwei Tagen gesammelt wurden, weil die Logdatei Sitzungen
enthält, die außerhalb dieses Rahmens liegen. Zur Darstellung der Daten durch die Applikation können Sie den Anzeigefilter abschalten.
F. Warum besteht der NetResident-Dienst beim Start darauf, dass ich Logdateien durchsehen möchte und nicht aktuell
erfasste Daten?
A. Die Datenbank wird durch den Dienst gewartet. Die graphische Benutzeroberfläche (GUI) ist nur eine einfache Konsole die mit dem
Dienst „spricht“. Die gesamte Datenverarbeitung und –filterung wird auch durch den Dienst geleistet, so dass er laufen muss.
F. Ich habe NetResident so eingestellt, dass die Überwachung nur gestartet wird, wenn die Applikation läuft und nicht
mit Windows startet. Ich stellte nach der Beendigung von NetResident fest, dass der Dienstprozess „tfsnrs.exe“
weiterhin im Taskmanager läuft. Warum läuft er weiter?
A. Der Lauf des Dienstes und Überwachung sind verschiedene Dinge. Der Dienst muss jederzeit aktiv sein, um in der Lage zu sein mit
der GUI zu „sprechen“. Das heißt nicht, dass der Dienst jederzeit Daten erfasst. Er erfasst Daten nur auf Anfordernug. Theoretisch,
wenn die Applikation zur Datenerfassung konfiguriert wurde wenn die GUI läuft, könnte man den Dienst starten wenn die GUI läuft und
ihn stoppen, wenn die GUI anhält, aber starten des Dienstes ist ein bisschen langsam und meistens wichtig, es kann auch nicht
ferngesteuert durchgeführt werden, wenn der Dienst und die GUI auf unterschiedlichen Maschinen laufen. Dies ist etwas, was wir für die
Zukunft planen einzubauen. Der Fakt, dass der Dienst im Hintergrund läuft, sollte Sie nicht weiter stören, denn wenn er keine
Überwachung durchführt, konsumiert das Netzwerk auch keine Systemressourcen.
F. Können Sie einige Leistungsmaße angeben, wenn NetResident dazu benutzt wird, ein schwerbeladenes Netzwerk zu
überwachen?
A. Die Programmleistung ist abhängig von der CPU-Geschwindigkeit und der RAM-Größe. Wenn Sie die standardmäßige
Überwachungseinstellungen benutzen, z.B. wenn alle Plugins eingeschaltet sind und alle Ports überwacht werden, kann ein
durchschnittlicher Pentium 4, 3GHz-PC mit 512 Mbyte RAM eine vollausgenutzte 100 Mbit-Netzverbindung überwachen. Um schnellere
Netzwerkverbindungen zu überwachen, sollten Sie eine Stationsfilterung einstellen, die überwachten Ports begrenzen und nichtbenötigte
Plugins abschalten. Die Leistung ist auch vom Typ des überwachten Verkehrs abhängig, sodass zusätzliche Filter nur übernommen
werden sollten, wenn Sie Leistungsprobleme wahrnehmen.
F. Für einige ICQ- und AIM-Chat-Sitzungen wurde eine der Teilnehmer-ID-Nummern als „Nicht entdeckt“ angezeigt.
Warum wurde diese nicht entdeckt?
A. Dies passiert, wenn eine ICQ- oder AIM-Chat-Sitzung (inklusive der Authentisierungsphase) beginnen, bevor NetResident die
Erfassung von Netzwerkpaketen startet. Wenn die Erfassung in der Mitte der Chat-Sitzung startet, kann die ID manchmal gefunden
werden (wie sie einige Servicepakete enthalten, die periodisch gesendet werden), trotzdem kann dies nicht garantiert werden.
F. Kann Ihr VoIP-Modul genutzt werden um Skype-Konservationen zu protokollieren?
A. Leider, nein. Skype benutzt eine stabile Verschlüsselung, es ist unmöglich Skype-Konservationen zu entschlüsseln.
F. Warum zeigt NetResident die Anzahl der übertragenen Daten nicht in Begriffen wie Bytes an?
A. NetResident speichert übertragene Daten nicht immer in ihrer originalen Form. Stattdessen verarbeitet NetResident diese für eine
bequemere Präsentation. Es ist nicht ungewöhnlich für ein Einzelnetzwerk in mehrere separate Ereignisse aufgeteilt zu sein oder das
mehrere Netzwerksitzungen in ein Ereignis kombiniert werden. Außerdem wird nicht vermutet dass einige übertragene Daten von
NetResident-Plugins nicht verarbeitet werden. Das bedeutet, NetResident kann nicht und ist auch nicht zur Anzeige verlässlicher
Netzwerkdatenstatisken geeignet. Wenn Sie an Netzwerkverkehrstatistiken interessiert sind, sollten Sie ein anderes TamoSoft-Produkt
benutzen: CommTraffic.
F. Ich benutze WireShark und ich bemerke, dass ich nicht länger Pakete erfassen kann, nach dem NetResident installiert
wurde.
A. Hier ist ein bekannter Konflikt zwischen WinPcap, dem in WireShark und vielen ähnlichen Produkten benutzten Treiber, sowie dem
benutzten Treiber in NetResident. Da gibt es eine einfache Abhilfe: Starten Sie die Paketerfassung mit WireShark bevor Sie Pakete mit
NetResident erfassen. In diesem Fall werden beide Produkte in der Lage sein, simultan Pakete zu erfassen. Wenn Sie die Erfassung mit
NetResident zuerst starten, wird die Paketerfassung mit WinPcap aus einem für uns unbekannten Grund fehlschlagen.
Information
Wie kann NetResident gekauft werden?
Dieses Programm ist eine 30-Tage-Testversion. Wenn Sie es nach den 30 Tagen weiterbenutzen möchten, müssen Sie es kaufen. Zwei
Lizenztypen sind für NetResident verfügbar: Lite und Pro.
•
•
Pro: Alle Funktionen sind verfügbar.
Lite: Alle Funktionen sind verfügbar, mit Ausnahme von VoIP-Unterstützung und die Fähigkeit Paketprotokolldateien anderer
Applikationen zu importieren.
Als registrierter Anwender haben Sie Anspruch auf:
•
•
•
Freie Updates, die innerhalb eines Jahres nach Kaufdatum erscheinen;
Informationen über Updates und neue Produkte;
Freien technischen Support.
Wir akzeptieren Kreditkartenbestellungen, telefonische und Faxbestellungen, Schecks und Banküberweisungen. Änderungen der Preise
und Geschäftsbedingungen sind vorbehalten.
http://www.tamosoft.de/order/
Nehmen Sie Kontakt mit uns auf
Web
http://www.tamosoft.de
E-Mail
[email protected] (Gewerbliche Anfragen)
[email protected] (Alle anderen Fragen)
Mail und Fax
Postadresse:
PO Box 1385
Christchurch 8140
Neuseeland
Fax: +64 3 359 0392 (Neuseeland)
Fax: +1 917 591-6567 (USA)
Andere TamoSoft-Produkte
CommView®
CommView ist ein Programm zur Überwachung des Internet- und Local Area Network-Verkehrs (LAN), das in der Lage ist
Netzwerkpakete zu empfangen und zu analysieren. Das Programm sammelt Informationen über die Daten von Wählverbindungen oder
Ethernet-Karten und decodiert die zu analysierenden Daten. Mit CommView können Sie eine Liste der Netzwerkverbindungen, sowie eine
IP-Statistik sehen und einzelne Datenpakete untersuchen. Pakete werden bis zur untersten Ebene mit einer Vollanalyse der
weitverbreitetsten Protokolle decodiert. Ein Vollzugriff auf Rohdaten in Echtzeit ist auch möglich. CommView ist ein nützliches Werkzeug
für LAN-Administratoren, Security-Experten, Netzwerker und für jeden der sich gerne ein Bild des Verkehrs auf einem PC oder in einem
LAN-Segment machen will.
Mehr Information
CommView for WiFi
CommView for WiFi ist ein mächtiger drahtloser Netzwerkmonitor und -analyser für 802.11 a/b/g-Netzwerke. Ausgestattet mit vielen
benutzerfreundlichen Besonderheiten verbindet CommView für WiFi bestes Leistungsverhalten und Flexibilität mit bisher unerreichter
Einfachheit in der Bedienung, unter industriellen Verhältnissen. CommView für WiFi erfasst jedes Paket um wichtige Informationen, wie
die Liste der Zugriffspunkte und Stationen, Knoten- bzw. Kanal-spezifische Statistiken, Signalstärken, eine Liste der Pakte,
Netzwerkverbindungen und Protokollverteilungsübersichten etc., anzuzeigen. Zusätzlich bietet CommView für WiFi die Werkzeuge um die
erfassten Pakete zu betrachten bzw. zu untersuchen, Netzwerkprobleme genau zu lokalisieren, WLAN-Installationsvorabklärungen bzw.
Untersuchungen durchzuführen und die Fehlersuche bezüglich Software und Hardware zu unterstützen.
Mehr Information
CommTraffic
CommTraffic ist ein Netzwerk-Werkzeug zum Sammeln, Verarbeiten und zur Darstellung von Verkehr und Netzwerklaststatistiken in
Netzwerkverbindungen, einschließlich LAN- und Wählverbindungen. Es zeigt den Verkehr und die Netzwerkauslastung für jeden
Computer im Segment. Die Software bietet eine angenehme und anpassbare Oberfläche mit einem optionalen Tray-Icon-Menü, das
allgemeine Netzwerkstatistiken darstellt. Sie können mit dem Programm Berichte über den Netzwerkverkehr und die
Internetverbindungskosten (sofern vorhanden) erstellen. CommTraffic unterstützt alle möglichen Kostenpläne Ihres ISP, wie z. B. solche
auf der Basis von Verbindungszeiten, Datenvolumen, Tageszeit und andere Einheiten. Sie können Alarme definieren, die Sie bei
bestimmten Situationen informieren (z. B. bei einer bestimmten Last oder bei bestimmten Kosten). Ein Konfigurationsassistent leitet Sie
durch das Setup und entdeckt automatisch Ihr Netzwerk oder Ihre Verbindungseinstellungen.
Mehr Information
CountryWhois
CountryWhois ist ein Hilfsmittel zur Identifizierung des geographischen Standortes einer IP-Adresse. CountryWhois kann zur Analyse von
Server-Log-Dateien, zur Überprüfung von E-Mali-Nachrichtenköpfen, zur Idenfizierung von Online-Kreditkartenbetrügern oder für jede
andere Gelegenheit benutzt werden, wo Sie schnell und exakt das Land der Ursprungs-IP-Adresse bestimmen müssen. CountryWhois
differenziert sich von ähnlichen Werkzeugen durch seine hohe Exaktheit (über 98%), durch seine beispilelose
Verarbeitungsgeschwindigkeit (eine 100 MB Logdatei wird in einer Sekunde verarbeitet), regelmäßige Updates, welche die sich immer
ändernde IP-Adressendatenbank auf dem neuesetn Stand halten, eine Reihe unterstützter Im- und Exportformate, Befehlszeilenmodus
und eine komfortable Bedienoberfläche.
Mehr Information
SmartWhois
SmartWhois ist ein praktisches Werkzeug um Informationen über eine beliebige IP-Adresse, einen Hostnamen oder eine Domäne
irgendwo auf der Welt zu bekommen. Es liefert automatisch Informationen zur IP-Adresse oder Domäne, unabhängig davon wo diese
geografisch registriert wurden. In wenigen Sekunden erhalten Sie alle Informationen, die Sie über einen Nutzer wissen wollten: Domäne,
Netzwerkname, Land, Staat/Bundesland und Stadt. Selbst wenn die IP-Adresse nicht in einen Hostnamen umgewandelt werden kann
wird Sie SmartWhois nicht enttäuschen!
Mehr Information
Essential NetTools
Essential NetTools ist ein Satz von Netzwerkwerkzeugen, die sehr nützlich zur Netzwerkdiagnose und Netzwerkverbindungsüberwachung
Ihres Computers sind. Das Programm ist ein Schweizer Taschenmesser für jeden, der machtvolle Werkzeuge für den Alltagseinsatz
sucht. Das Programm enthält ein NetStat-Werkzeug, welches die Netzwerkverbindungen Ihres Computers anzeigt, ferner dessen offene
Ports und deren Zuordnung zu den entsprechenden Anwendungen. Ferner enthält es einen schnellen NetBIOS-Scanner, ein NetBIOSAuditing-Werkzeug zur Überprüfung der LAN- Sicherheit und einen Monitor für die externen Verbindungen zu den geteilten Ressourcen
Ihres Computers. Es ist ebenso ein Prozessmonitor zur Anzeige der Informationen über die laufenden Programme und Services
vorhanden. Weitere nütziche Werkzeuge sind z. B. Ping, TraceRoute, und NSLookup. Weitere Möglichkeiten sind die Berichterzeugung
im HTML-, Text- und CSV-Format und die konfigurierbare Schnittstelle. Das Programm ist ein leicht zu benutzender und mächtiger Ersatz
für Windows-Werkzeuge, wie nbtstat, netstat und NetWatcher. Die Applikation besitzt viele Profimöglichkeiten, die ein normales
Windows nicht bietet.
Mehr Information
DigiSecret
DigiSecret ist eine leichtzubenutzende, sichere und mächtige Applikation zur Dateiverschlüsselung und zum gemeinsamen Dateizugriff.
Es nutzt starke, etablierte Verschlüsselungsalgorithmen zur Erzeugung verschlüsselter Archive, selbstextrahierender Exe-Dateien zum
Dateien-Sharing mit Kollegen und Freunden. DigiSecret beinhaltet ferner eine starke und intelligente Dateikompression. Sie benötigen
nun keine ZIP-Dateien mehr, wenn Sie verschlüsselte und komprimierte DigiSecret-Dateien benutzen. Das Programm ist in die WindowsShell integriert, so dass Sie Aktionen mittels Rechtsklick auf Dateien ausführen können. Zudem wird Drag&Drop voll unterstützt.
Mehr Information