Netwerkverkeer loggen: zo werkt het
Het netwerkverkeer is afhankelijk van het apparaat op verschillende manieren te loggen. Op een normale pc gebruik je standaard Wireshark. Wireshark biedt dat ook meteen na het starten aan: je hoeft alleen de netwerkinterface te selecteren en op de startknop te drukken.
Het dataverkeer van apparaten waar geen Wireshark op draait, kan wellicht door een logfunctie van de router geleverd worden. Bij de populaire Fritzboxen kom je daar via het adres http://fritz.box/html/capture of http://fritz.box/support.lua. Op meerdere Speedport-routers kan dat bij http://www. speedport.ip/html/capture.html.
Bij bedrijven behoort packet-capturing tot de standaarduitrusting van moderne firewalls als die van Palo Alto Networks en Fortinet. Je kunt het via de configuratiepagina’s starten. Om je hele netwerk niet teveel te belasten met een uitgebreide dataverkeerlogging, moet je het loggen beperken tot de IPv4- en IPv6-adressen van de clients waarin je geïnteresseerd bent.
Bij zakelijke switches met port-mirrorring, ook wel SPAN-port genoemd (Switched Port-Analyzer), kun je het dataverkeer doorsturen. Als je de client-poort tijdelijk even terugschroeft naar 100 Mbit/s, dan is de capaciteit van de mirror-poort (1 Gbit/s) hoog genoeg voor beide richtingen. Maar met die tragere netwerkverbinding kan een fout ook ineens weg zijn.
Systeembeheerders met een groot budget gebruiken daarom een professioneel Terminal Access-Point (TAP) met een capture-kaart. Die schrijft alle pakketten te allen tijde correct weg en levert op die manier precieze en betrouwbare traces.
Geheel onafhankelijk van het registratieapparaat worden de logbestanden normaal gesproken in het PCAP- of het PCAPNG-formaat opgeslagen. Daar kunnen zowel Wireshark en TShark als andere vergelijkbare applicaties mee overweg.