ASTEC Eyes は、 ネットワークアナライザーと呼ばれる種類のソフトウェアです (LAN アナライザーまたはプロトコルアナライザーとも呼ばれます)。

ASTEC Eyes には、 大きく分けて次の二つの機能があります。

モニタ機能

ネットワークを流れるデータの量の統計を取り、 その統計情報をさまざまな切り口で分析する機能

デコード機能

ネットワークのデータそのものを ASTEC Eyes 内部にコピーし、 データの内容を各プロトコルに基づいて詳細に解析する機能

モニタ画面での対話的な操作が可能

モニタ中に、各種統計情報のグラフなどが表示されます。 そのグラフのメニューを操作することで、 より絞り込んだ情報を表示させることができます。

ストリームビュー

TCP のデータストリームを再構成して、 アプリケーション層のデータを見やすい形で表示できます。

簡易フィルタ

収集した膨大な数のパケットから、興味の対象となるパケットを容易に、 すばやく見つけられるように、 対話的に条件を絞り込める簡易フィルタ (見出しフィルタ、ヘッダー属性フィルタ、デコード結果フィルタ) を用意しています。

ホスト名とアドレスの対応づけが容易

モニタ中に流れたパケットや収集したパケットから自動的に対応表を作成する受動的な名前解決機能と、 能動的に NIS、DNS、WINS サーバーへ問い合わせる名前解決機能があります。

マルチプラットフォーム対応のリモート監視

リモートモジュール をインストールすると、 離れた場所にあるネットワークの情報を収集することができます。 バージョン 2.0 からは、 リモートモジュールが マルチプラットホームに対応しました。 Windows 以外に SPARC 版 Solaris および Intel x86/x64 版 Linux をサポートしています。 これも他社製品にはない一つの特長です。

• Linux (Intel x86/x64 版)
  RHEL (Red Hat Enterpprise Linux) 5 以降
• Solaris (SPARC 版)
  Solaris 10、11

ASTEC Eyes の基本パッケージについては、 現在のところ Windows 以外のプラットフォームに対応する予定はありません。

リモートモジュールは、 ASTEC Eyes 基本パッケージと同じモニタ機能、キャプチャ機能、ログ機能、 およびエキスパート機能を持っています。 しかし、収集したモニタ情報を表示する機能やパケットをデコードする機能、 ホスト名を検索する機能はありません。
リモートモジュールが収集した情報を見るためには、 ASTEC Eyes 基本パッケージが少なくとも1つは必要です。

これまでと同じように、 検出したイベントをウィンドウ上に表示できるほか、 必要なイベントだけをまとめて定期的にメールで通知したり、 指定した重要なイベントについては検出したときにすぐに通知することができます。

• 評価期限を設定しています。 期限内に評価が完了しなかった場合には、 弊社までご連絡ください。
• パスワード文字列を表示しない機能を解除できません (パスワード文字列を解析し、表示することができません)。 詳しくはftpのパケットをデコードしたとき、 パスワードの文字列が '*' になってしまい、 表示されないのですが? をご覧ください。
• デフォルトではトラフィックジェネレータの機能が無効になっています。 この機能は有効にできます。 詳しくは、 トラフィックジェネレータ機能が使えないのですが?をご覧ください。

PCI バスや PC カードに対応した有線の LAN アダプタであれば、 問題なくお使いになれます。 弊社の調査では、 PCI バスやPCカードの LAN アダプタについては、 パケットの取りこぼしや CPU の負荷に差は見られませんでした。

無線 LAN アダプタについては、 機種や環境によっては正しく動作しないケースがありました。 お使いになっているネットワークアダプタが動作しない場合は、 弊社までお問い合わせください。

ノート PC でお使いになる場合は、 CardBus 対応の PC カードをお薦めします。
Linux で使う場合は、 ドライバのサポートが充実しているものをお薦めします。

または、 ASTEC Eyes の リモートモジュール を離れた場所のネットワークにあるホストにインストールすれば、 ローカルなネットワークと全く同じ操作で離れた場所のネットワークの情報を調べることができます。

リモートモジュールが対応している OS については、 Q9. Linux など Windows 以外の OS に対応していますか? をご覧ください。

• CRC エラー
• アライメントエラー
• オーバーランエラー

メインウィンドウのメニューバーの 「オプション(O)」 から 「設定(O)」 を選びます。 「オプション設定」ダイアログボックスが現れます。
「モニタ」のタブをクリックします。 タイムスパン毎に期間を選べるようになっています。 長期タイムスパンに設定できるのは 6 日までです。

ログ機能を使えば、 もっと長期間のトラフィック情報を調べることができます。 ログ機能について、詳しくはユーザーズガイドをご覧ください。

デフォルトでは、 5 分間隔でログデータを作成し、 1 つのログファイルに 6 回分のログデータを書き込みます。
ログデータを作成する間隔 (= 出力間隔)、 および 1 つのログファイルに何回分のログデータを書き込むか (= 同一ファイルへの書き込み回数) は、 「ホストのプロパティ」 ダイアログボックスの 「ログ」 ページで設定できます。

出力間隔を大きくする、 または (次に説明する理由により) 同一ファイルへの書き込み回数を増やせば、 ログファイル全体のサイズは小さくなります。
また、「ログファイルを圧縮する(C)」のチェックボックスを有効にすると、 ログファイルを bzip2 を使って圧縮するため、 ファイルサイズは小さくなります。

各ログファイルには、

1. ホストやプロトコル毎のトラフィックの累積情報 (全ての統計情報)
2. 観測中に発生したトラフィックデータ

また、 カードのハードウェアで長いデータを複数の TCP のパケットに分割する機能 (Large Send Offload機能、 あるいはTCP Segmentation Offload機能)を持つ NIC もあります。 このような NIC をインストールしてあるホストで長いパケットを送信しようとしたときにも、 チェックサムエラーを検出します。

これを避ける方法をプラットフォームごとに示します。

[Windows の場合]

2通りあります。

• NIC の設定により、 Checksum Offload 機能や Large Send Offload 機能を無効にします。
• ASTEC Eyes のエキスパート機能の設定で、 チェックサムエラーを検出しないようにします。
  
  1. インタフェースセレクタウィンドウのホストのエントリを マウスの右ボタンでクリックし、 「プロパティ(P)」を選びます。 「ホストのプロパティ」ダイアログボックスが現れます。
  2. 「エキスパート」タブをクリックし、 「イベントの検出と通知の設定(E)」で、 該当するチェックサムエラーの検出や通知を無効にします。

[Solarisの場合]

1. /etc/system に次の1行を加えます。
   set ip:dohwcksum=0
2. リブートします。

[Linux の場合]

ethtool コマンドで設定します。例えば、

ethtool -k tx-checksum-ipv4 off
ethtool -k tx-tcp-segmentation off

のようにします。 詳しくは ethtool のマニュアルかヘルプでご確認ねがいます。

発信元毎、受信先毎、ホストペア毎のグラフは、デフォルトの設定では全ての項目を表示していません。 Others という項目は、表示していない項目を合計したものを示しています。

ホストを項目とするグラフで、項目数が非常に多くなったときにグラフが見づらくなるのを防ぐための機能です。 「オプション」メニューの「グラフのデフォルト」タブで、表示する項目数を指定したり、項目数を制限しないようにもできます。

一つの目安としては、 1000 ホスト程度の 100Mbps Ethernet の場合、 400MHz 以上のクロックの CPU を使っている PC であれば、 パケットを取りこぼさずにモニタやキャプチャを行うことができます (ASTEC Eyes では、 モニタとキャプチャはほぼ同じ性能です)。
また、モニタやキャプチャと同時に連続キャプチャ機能を使う場合は、 800MHz 以上のクロックの CPU が必要になります。

ギガビット Ethernet の場合には、 ピークが 300Mbps 程度のトラフィックに対して、 800MHz 以上のクロックの CPU が必要になります (連続キャプチャ機能を使わない場合)。

※ ASTEC Eyes の性能やモニタやキャプチャ中に CPU にかかる負荷は、 お使いになるネットワークカードや PC の性能に依存します。

※ リアルタイムデコード機能を利用すると、キャプチャできたパケットでもGUIに表示するまでの間にドロップする可能性が生じます。 ネットワークの負荷が高い時や、出来るだけ取りこぼしたくない場合にはリアルタイムデコード機能を使わず、通常のキャプチャ機能をご利用ください。

また、ASTEC Eyes には、メモリ上のバッファを使わずに、直接ファイルにキャプチャしたパケットのデータを書き出す連続キャプチャ機能があります。 1 つのファイルに書き込むデータ量は設定でき、データ量が設定値を超えると新しいファイルを作成して、そのファイルへの書き込みを始めます。 連続キャプチャ機能はGUIで操作をしながらキャプチャ、デコードを行う通常の機能とは並行して行うことができます。

十分な大きさのディスクを用意して、 この機能を使えば、 ディスク容量の範囲内でパケットをキャプチャし続けることができます。

また、 バージョン 3.0 からは、 連続キャプチャ時にフィルタを掛けることができるようになりました。 フィルタを利用すれば、 必要なパケットだけをファイルに書き出すことができます。 さらに、 古いファイルを削除しながらキャプチャしつづけることができるようになったので、 トラフィックが多い場合でも、 ディスクの空き容量を一定に保ったまま常に最新のキャプチャデータを残すようにできます。

2002年12月現在、Intel 社製の NIC では、 VLAN タグ付きのパケットをキャプ チャできません。弊社で実験した結果、VLAN タグ付きのパケットを キャプチャできた NIC は次のとおりです。

• 3Com 3C595-TX Fast EtherLink III 10/100 PCI
• PLANEX FNW-9800-T
• PLANEX FNW-9802-T
• SMC EtherPower II 10/100 Ethernet Adapter
• AMD PCnet Family PCI Ethernet Adapter
• I-O DATA ET100-PCI-R
• MELCO LGY-PCI-TXR
• corega FEtherW PCI-TX

1. NIC を 2枚用意し、1 枚は通常使用する NIC とします。
2. もう1枚をASTEC Eyes のモニタ用の NIC として、 [Microsoft ネットワーク用クライアント] や [インターネットプロトコル(TCP/IP)] などのコンポーネントは何も使用しない状態にします。
3. ASTEC Eyes でモニタ用の NIC を選んでキャプチャします。

また、 カードのハードウェアで長いデータを複数の TCP のパケットに分割する機能 (Large Send Offload機能、 あるいはTCP Segmentation Offload機能)を持つ NIC もあります。 このような NIC をインストールしてあるホストで長いパケットを送信しようとしたときにも、 チェックサムが illegal になります。

これを避ける方法をプラットフォームごとに示します。

[Windows の場合]

2通りあります。

• NIC の設定により、 Checksum Offload 機能や Large Send Offload 機能を無効にします。
• ASTEC Eyes がパケットをデコードする際にチェックサムの照合を行わないようにします。
  メインウィンドウのメニューバーの 「オプション(O)」 から「設定(O)」 を選びます。 「オプション設定」ダイアログボックスが現れます。
  「その他」のタブをクリックし、 「デコード時にチェックサムの値の照合を省略する(O)」 にチェックを付けます。
  「適用(A)」 ボタンまたは 「OK」 ボタンをクリックした後、 デコードをやり直してください。

[Solarisの場合]

1. /etc/system に次の1行を加えます。
   set ip:dohwcksum=0
2. リブートします。

[Linux の場合]

ethtool コマンドで設定します。例えば、

ethtool -k tx-checksum-ipv4 off
ethtool -k tx-tcp-segmentation off

のようにします。 詳しくは ethtool のマニュアルかヘルプでご確認ねがいます。

は、TCPヘッダーの Sequence Number 740966728 から 740970015 までの 3288 バイト分のデータを含むパケットがキャプチャデータにないことを示しています。
原因として、3種類のケースがあります。

• 該当するパケットをキャプチャできなかった

ホストの性能が不足していて一部のパケットをキャプチャできない (ドロップした) ときや、 キャプチャ期間中に必要なパケットが届かなかったときなど、 ストリームを構成する TCP パケットがキャプチャデータに含まれていないときに、 "Lack of Data"と表示されます。

• Large Send Offload機能が有効になっている

ネットワークインタフェースカード (NIC) の種類によっては、 長いデータを複数の TCP パケットに分割して送信する Large Send Offload 機能 (TCP Segmentation Offload 機能) を持つものがあります。 このような NIC をインストールしているホストでパケットをキャプチャすると、 長い送信パケットの一部をキャプチャできない場合があります。
この場合には、 NIC の Large Send Offload 機能を無効にして、回避してください。


• Checksum Offload機能が有効になっている

ネットワークインタフェースカード (NIC) の種類によっては、 カードのハードウェアでチェックサムを計算する機能を持つものがあります。 このような NIC をインストールしているホストでパケットをキャプチャすると、 チェックサムが誤っているものとして、 ストリームを構成するパケットとして扱われません。
この場合には、Q37 デコード結果で、パケットのチェックサムが全て illegal になってしまうのですが? に示した手段で回避してください。

1. プロトコルに基づいたデータを流すための環境が、 弊社内に構築可能であること (プロトコルの実装が入手可能であること)
2. プロトコルの仕様が公開情報として入手可能であること

上の 2 点を満たすプロトコルであれば、 お客様からのご要望の多さなどを考慮しながら、 順次サポートして行く予定です。 また、 基本的に新しくサポートしたプロトコルのデコーダは、 バージョンアップ版として公開して行きます。

しかしながら、 Internet-Draft が公開されてから何日以内にそのプロトコルをサポートするといった開発の体制はとっておりません。
公開されているプロトコルであれば、 弊社で受託開発をお受けすることもできます。

キャプチャしたデータをデコードする場合は、 デコードビューを作成する際に、 キャプチャした全データがそのままリモートモジュールから ASTEC Eyes 本体へ転送されます。 転送するデータを圧縮することはできますが、 キャプチャしたデータ量に比例して使う帯域は増加します。 データを圧縮すると、データ量は1/2程度になります。

転送するデータを圧縮するには、次のようにします。
メインウィンドウのメニューバーの「オプション(O)」から「設定(O)」を選びます。 「オプション設定」ダイアログボックスが現れます。
「キャプチャ」のタブをクリックし、 「データを圧縮して取り込む(C)」 にチェックを付けます。

1000 ホスト程度のネットワークの場合の負荷の目安 を参照してください。

• ネットワーク R 値
• ネットワーク MOS 値
• ネットワーク MOS-j 値
• ユーザー R 値
• ユーザー MOS 値
• ユーザー MOS-j 値
• 往復遅延時間
• ジッター
• パケット損失率

詳しくは Q.51 「ツール(T)」メニューから「音声データ送信(R)...」が選べないのですが? をご覧ください。

• サンプリング周波数 8kHz
• 16 bit
• モノラル
• 拡張子 .wav