Специалист
Эксперт — это библиотека Динамической компоновки (DLL) Microsoft Win32, которая анализирует сетевой трафик, собранный поставщиком сетевых пакетов (NPP) и помещаемый в файл записи. После того как данные будут записаны и сохранены в файле отслеживания, эксперт работает со средствами синтаксического анализа, которые также называются синтаксический анализатор протоколов, для анализа данных в файле. Например, можно проверить кадры файла записи и использовать средство синтаксического анализа для распознавания таких протоколов, как серверный блок сообщений (SMB) или протокол TCP/IP.
Вы можете разработать эксперта для работы со всеми средствами синтаксического анализа сетевого монитора и любыми средствами синтаксического анализа, которые вы создаете самостоятельно.
После того как запрошенное совпадение протоколов идентифицирует конкретный кадр, эксперт извлекает данные из кадра. Вы можете запрограммировать эксперта на обработку информации в пригодные для использования данные, отображаемые монитором сети Просмотр событий.
Вы можете настроить эксперта во время выполнения, а затем использовать монитор сети для сохранения данных конфигурации пользователя для повторного использования с различными файлами отслеживания. Вы можете использовать эксперта для предоставления данных корреляции и пользовательских разрешений для конечных пользователей. Дополнительные сведения о создании сведений о конфигурации на основе HTML см. на странице справочника по событиям.
Во время настройки монитора сети в подкаталоге Experts устанавливаются следующие библиотеки DLL экспертов:
- Coalesce.dll
- Propdist.dll
- Protdist.dll
- Resptime.dll
- Tcpipe.dll
- Topuser.dll
При запуске монитора сети функция DllMain создает всех экспертов в подкаталоге experts. Когда пользователь выбирает Эксперты в меню Сервис пользовательского интерфейса сетевого монитора, сетевой монитор загружает библиотеки DLL экспертов. Эксперт вызывается через точку входа Register Expert для предоставления основных сведений о эксперте.
Монитор сети вызывает следующие функции для управления экспертом:
Эксперт должен реализовать каждую из предыдущих функций.