Архитектура экспертов и синтаксического анализатора
На следующем рисунке показана связь между приложениями эксперта и синтаксического анализа и другими компонентами архитектуры сетевого монитора.
Сетевой трафик собирается в виде отдельных кадров из драйвера NDIS. Затем драйвер сетевого монитора (Nmnt.sys) направляет кадры поставщику сетевых пакетов (NPP), который записывает данные и помещает их в один или несколько файлов записи. NPP — это коллекция COM-интерфейсов, используемых для сбора данных. В этом случае интерфейс IDelaydC используется для выполнения отложенного захвата.
Примечание
NPP используется для отложенного захвата и захвата в режиме реального времени. Для захвата в режиме реального времени используется интерфейс IRTC .
Если сетевые кадры хранятся в файле записи и файл доступен, эксперты и синтаксики могут использовать для анализа данных пользовательский интерфейс сетевого монитора и функции сетевого монитора, предоставляемые в Nmapi.dll. Файлы записи недоступны до завершения записи.