TamoSoft: Network Analysis Tools & Security Software
Contents

NetResident Help Documentation

 

Häufig gestellte Fragen

In diesem Kapitel finden Sie Antworten zu den meisten, häufig gestellten Fragen. Die aktuelle FAQ ist immer unter http://www.tamosoft.de/products/netresident/faq.php verfügbar.

 

F. Was ist der Unterschied zwischen NetResident Lite und NetResident Pro?

A. Zwei Lizenztypen sind für NetResident verfügbar: Lite und Pro.

Pro: Alle Funktionen sind verfügbar.
Lite: Alle Funktionen sind verfügbar, mit Ausnahme von VoIP-Unterstützung und die Fähigkeit Paketprotokolldateien anderer Applikationen zu importieren.

 

F. Ich plane den NetResident-Dienst auf einem Computer zu installieren und dann unter Benutzung der Bedienoberfläche eines anderen Computers zu dem Dienst zu verbinden. Was soll ich tun um dem Lizenzabkommen nachzukommen?

A. Gemäß dem EULA, erlaubt Ihnen eine Einzelanwenderlizenz eine Kopie von NetResident in einem Anwenderkonto des Operationssystems zu benutzen. Installation und Benutzung auf verschiedenen Computern, ungeachtet der Installation oder der Benutzungsart (Dienst oder Bedienoberfläche) erfordert, dass Sie sich entsprechend der Anzahl von Installationen, Lizenzen beschaffen.

 

F. Mein HTTP-Plugin zeigt HTML-Seiten nicht immer korrekt an. Beispielsweise werden einige Bilder nicht angezeigt. Warum ist das so?

 

A. Eine typische HTML-Seite repäsentiert eine Kollektion von Dutzenden unabhängigen Objekten – HTML-Code, Bilder, CSS styles und anderen. Ein Browser fordert jedes dieser Objekte an; allerdings werden die meisten dieser Objekte zwischengespeichert (zur späteren Benutzung auf die Festplatte gespeichert) und werden somit nicht jedesmal vom Netzwerk angefordert, wenn eine Webseite angesehen wird. NetResident hat keinen Zugang zu Ihrem Browser-Zwischenspeicher; deshalb kann es diese Okjekte nicht „sehen". Dies ist kein Problem mit NetResident; Sie können die Webseite immer in Ihrem Browser neu laden (Sie müssen ein komplettes Neuladen durchführen, in MSIE wird dies durch Klicken auf den Button [Aktualisieren] und gedrückthalten der Taste [Shift] erreicht. Dies ermöglicht NetResident alle Webseitenelement zu protokollieren und zu speichern.

 

F. Welche Adresse (IP-oder MAC) soll ich zwecks Identifizierung einer Station benutzen, die ich überwachen möchte?

 

A. Falls Sie DHCP in Ihrem Netzwerk eingeschaltet haben, wird jedem Computer mit einer einzigartigen MAC-Adresse in jeder Sitzung eine andere IP-Adresse zugewiesen. In diesem Fall sollten Sie Ihre Stationen durch MAC-Adressen identifizieren. Dies wird das Programm anweisen alle Netzwerkereignisse zuzuordnen, in denen die festgelegte MAC-Adresse die bestimmte Station darstellt und verhindern, dass die Stationsliste überläuft. In einigen Fällen können Sie auf unterschiedliche MAC-Adressen für jeden Host treffen. Wenn Sie ihrem Netzwerkadapter und anderen Stationen im LAN statische IP-Adressen zugewiesen haben, sollten Sie IP-Adressen zur Identifizierung der Stationen verwenden. Wir empfehlen die Benutzung von Kennnamen für MAC- und IP-Adressen, diese erleichtern die Wiedererkennung und Analyse der Netzwerkereignisse erheblich.

 

F. Wenn ich versuche Logdateien von CommView oder CommView for WiFi zu importieren, bin ich nicht in der Lage den Inhalt einiger Dateien anzuzeigen. Ich glaube, ich habe alle Parameter bzgl. der Ereignisansicht und –filterung korrekt eingestellt.

 

A. Es ist wichtig, zu verstehen, dass die Importdurchführung und der Inhaltanzeigemechanismus jeweils eigene Filter besitzen. Als Sie die Datei importierten, wurde der Inhalt möglicherweise während der Importphase ausgefiltert, wenn Sie Filter angewandt haben. Sobald die Importphase vorbei ist, benutzt die Applikaton den Anzeigefilter zur Darstellung des Inhalts. Hier ist eine Chance, dass die Applikation konfiguriert ist, nur die Daten darzustellen, welche in den letzten zwei Tagen gesammelt wurden, weil die Logdatei Sitzungen enthält, die außerhalb dieses Rahmens liegen. Zur Darstellung der Daten durch die Applikation können Sie den Anzeigefilter abschalten.

 

F. Warum besteht der NetResident-Dienst beim Start darauf, dass ich Logdateien durchsehen möchte und nicht aktuell erfasste Daten?

 

A. Die Datenbank wird durch den Dienst gewartet. Die graphische Benutzeroberfläche (GUI) ist nur eine einfache Konsole die mit dem Dienst „spricht". Die gesamte Datenverarbeitung und –filterung wird auch durch den Dienst geleistet, so dass er laufen muss.

 

F. Ich habe NetResident so eingestellt, dass die überwachung nur gestartet wird, wenn die Applikation läuft und nicht mit Windows startet. Ich stellte nach der Beendigung von NetResident fest, dass der Dienstprozess „tfsnrs.exe" weiterhin im Taskmanager läuft. Warum läuft er weiter?

 

A. Der Lauf des Dienstes und überwachung sind verschiedene Dinge. Der Dienst muss jederzeit aktiv sein, um in der Lage zu sein mit der GUI zu „sprechen". Das heißt nicht, dass der Dienst jederzeit Daten erfasst. Er erfasst Daten nur auf Anfordernug. Theoretisch, wenn die Applikation zur Datenerfassung konfiguriert wurde wenn die GUI läuft, könnte man den Dienst starten wenn die GUI läuft und ihn stoppen, wenn die GUI anhält, aber starten des Dienstes ist ein bisschen langsam und meistens wichtig, es kann auch nicht ferngesteuert durchgeführt werden, wenn der Dienst und die GUI auf unterschiedlichen Maschinen laufen. Dies ist etwas, was wir für die Zukunft planen einzubauen. Der Fakt, dass der Dienst im Hintergrund läuft, sollte Sie nicht weiter stören, denn wenn er keine überwachung durchführt, konsumiert das Netzwerk auch keine Systemressourcen.

 

F. Können Sie einige Leistungsmaße angeben, wenn NetResident dazu benutzt wird, ein schwerbeladenes Netzwerk zu überwachen?

 

A. Die Programmleistung ist abhängig von der CPU-Geschwindigkeit und der RAM-Größe. Wenn Sie die standardmäßige überwachungseinstellungen benutzen, z.B. wenn alle Plugins eingeschaltet sind und alle Ports überwacht werden, kann ein durchschnittlicher Pentium 4, 3GHz-PC mit 512 Mbyte RAM eine vollausgenutzte 100 Mbit-Netzverbindung überwachen. Um schnellere Netzwerkverbindungen zu überwachen, sollten Sie eine Stationsfilterung einstellen, die überwachten Ports begrenzen und nichtbenötigte Plugins abschalten. Die Leistung ist auch vom Typ des überwachten Verkehrs abhängig, sodass zusätzliche Filter nur übernommen werden sollten, wenn Sie Leistungsprobleme wahrnehmen.

 

F. Für einige ICQ- und AIM-Chat-Sitzungen wurde eine der Teilnehmer-ID-Nummern als „Nicht entdeckt" angezeigt. Warum wurde diese nicht entdeckt?

 

A. Dies passiert, wenn eine ICQ- oder AIM-Chat-Sitzung (inklusive der Authentisierungsphase) beginnen, bevor NetResident die Erfassung von Netzwerkpaketen startet. Wenn die Erfassung in der Mitte der Chat-Sitzung startet, kann die ID manchmal gefunden werden (wie sie einige Servicepakete enthalten, die periodisch gesendet werden), trotzdem kann dies nicht garantiert werden.

 

F. Kann Ihr VoIP-Modul genutzt werden um Skype-Konservationen zu protokollieren?

 

A. Leider, nein. Skype benutzt eine stabile Verschlüsselung, es ist unmöglich Skype-Konservationen zu entschlüsseln.

 

F. Warum zeigt NetResident die Anzahl der übertragenen Daten nicht in Begriffen wie Bytes an?

 

A. NetResident speichert übertragene Daten nicht immer in ihrer originalen Form. Stattdessen verarbeitet NetResident diese für eine bequemere Präsentation. Es ist nicht ungewöhnlich für ein Einzelnetzwerk in mehrere separate Ereignisse aufgeteilt zu sein oder das mehrere Netzwerksitzungen in ein Ereignis kombiniert werden. Außerdem wird nicht vermutet dass einige übertragene Daten von NetResident-Plugins nicht verarbeitet werden. Das bedeutet, NetResident  kann nicht und ist auch nicht zur Anzeige verlässlicher Netzwerkdatenstatisken geeignet. Wenn Sie an Netzwerkverkehrstatistiken interessiert sind, sollten Sie ein anderes TamoSoft-Produkt benutzen: CommTraffic.

 

F. Ich benutze WireShark und ich bemerke, dass ich nicht länger Pakete erfassen kann, nach dem NetResident installiert wurde.

 

A. Hier ist ein bekannter Konflikt zwischen WinPcap, dem in WireShark und vielen ähnlichen Produkten benutzten Treiber, sowie dem benutzten Treiber in NetResident. Da gibt es eine einfache Abhilfe: Starten Sie die Paketerfassung mit WireShark bevor Sie Pakete mit NetResident erfassen. In diesem Fall werden beide Produkte in der Lage sein, simultan Pakete zu erfassen. Wenn Sie die Erfassung mit NetResident zuerst starten, wird die Paketerfassung mit WinPcap aus einem für uns unbekannten Grund fehlschlagen.