Parser

Analizator to składnik monitora sieci, który sprawdza dane w opóźnionym przechwytywaniui przekazuje określone informacje o protokole do aplikacji, która wywołuje analizator. Analizator jest pasywny, ponieważ działa tylko wtedy, gdy monitor sieci lub ekspert go nazwać.

Każdy analizator identyfikuje jeden protokół, a zazwyczaj analizator jest implementowany w ramach własnej biblioteki DLL analizatora. Jednak biblioteka DLL analizatora może zawierać wiele analizatorów, co oznacza, że jedna biblioteka DLL może służyć do wykrywania więcej niż jednego protokołu.

Dane przekazywane do analizatora są pobierane z opóźnionego przechwytywaniai przekazywane do analizatora na podstawie ramek. Nie można przeanalizować przechwytywania w czasie rzeczywistym.

Aby przeanalizować dane w ramce, analizator musi rozpoznać wystąpienie protokołu, zidentyfikować właściwości istniejące w wystąpieniu protokołu i dołączyć definicję właściwości do każdej właściwości. Należy pamiętać, że ramka zawiera tylko strumień danych. Ramka nie zawiera danych wskazujących, które protokoły lub właściwości protokołu reprezentują dane.

Poniższa ilustracja przedstawia ramkę zawierającą wystąpienie protokołu.

Jeśli monitor sieci będzie wyświetlać przeanalizowane dane w interfejsie użytkownika, analizator musi sformatować dane. Jednak niektórzy eksperci programowo używają danych wyjściowych analizatora i nie wyświetlają danych wyjściowych w interfejsie użytkownika monitora sieci. Wyświetlane dane obejmują zarówno dane zdefiniowane przez analizator, jak i dane w przechwytywaniu. Na przykład analizator zwykle udostępnia zarówno nazwę właściwości, która jest wyświetlana, jak i dane w przechwyceniu skojarzonym z właściwością.