- Адрес компьютера, пославшего кадр
- Адрес компьютера, получившего кадр
- Заголовки каждого протокола, используемого для пересылки данного кадра
- Данные или их часть
Чтобы гарантировать безопасность сети на базе Windows 2000, сетевой монитор показывает только те кадры, которые посланы на/с компьютер(а) пользователя, широковещательные кадры и кадры группового (multicast) вещания.
Сетевой монитор может перехватить и запомнить только тот объем информации, который сможет поместиться в доступной памяти компьютера. Обычно не требуется фиксировать большой объем информации, нужно только записать небольшое подмножество кадров, передаваемых в сети. Чтобы выделить подмножество кадров, можно разработать фильтр сбора данных, функционирующий подобно запросу базы данных. Возможна фильтрация на основе адресов источника и адресата, протоколов, свойств протокола или по образцу смещения.
Для того чтобы способ сбора данных отвечал событиям, происходящим в сети, как только они будут обнаружены, разрабатывают триггер сбора данных, который выполняет определенное действие (например, запускает исполняемый файл), когда сетевой монитор обнаруживает в сети набор условий, соответствующий триггеру. Сетевой монитор поддерживает множество популярных протоколов, включая NetBIOS (NetBEUI), IPX, SPX и большую часть протоколов из набора TCP/IP.
После того как данные зафиксированы (и факультативно сохранены в файле сбора данных), их можно просмотреть. Сетевой монитор проделает большую часть работы по анализу данных, формируя из необработанных собранных данных кадр согласно его логической структуре.
Основные функциональные возможности сетевого монитора, описанные в этой главе, поддерживаются службами поддержки продуктов Microsoft (Microsoft Product Support Services, MPSS,). Службы поддержки не решают задачи, зависящие от конкретной сети, такие как интерпретация данных, которые перехватываются и сохраняются в сети.