Поделиться через


Архитектура экспертов и синтаксического анализатора

На следующем рисунке показана связь между приложениями эксперта и синтаксического анализа и другими компонентами архитектуры сетевого монитора.

связь между приложениями эксперта и средства синтаксического анализа;

Сетевой трафик собирается в виде отдельных кадров из драйвера NDIS. Затем драйвер сетевого монитора (Nmnt.sys) направляет кадры поставщику сетевых пакетов (NPP), который записывает данные и помещает их в один или несколько файлов записи. NPP — это коллекция COM-интерфейсов, используемых для сбора данных. В этом случае интерфейс IDelaydC используется для выполнения отложенного захвата.

Примечание

NPP используется для отложенного захвата и захвата в режиме реального времени. Для захвата в режиме реального времени используется интерфейс IRTC .

 

Если сетевые кадры хранятся в файле записи и файл доступен, эксперты и синтаксики могут использовать для анализа данных пользовательский интерфейс сетевого монитора и функции сетевого монитора, предоставляемые в Nmapi.dll. Файлы записи недоступны до завершения записи.