Архитектура эксперта и синтаксического анализа
На следующем рисунке показана связь между экспертом и средства синтаксического анализа приложениями и другими компонентами архитектуры сетевого монитора.
Сетевой трафик собирается в виде отдельных кадров из драйвера NDIS. Затем драйвер сетевого монитора (Nmnt.sys) направляет кадры поставщику сетевых пакетов (NPP), который записывает данные и помещает его в один или несколько файлов записи. NPP — это коллекция COM-интерфейсов, используемых для сбора данных. В этом случае интерфейс IDelaydC используется для выполнения отложенного захвата.
Заметка
NPP используется для отложенных и отслеживаний в режиме реального времени. Для отслеживания в режиме реального времени используется интерфейс IRTC.
Если сетевые кадры хранятся в файле записи, а файл доступен, эксперты и средства синтаксического анализа могут использовать пользовательский интерфейс сетевого монитора и функции сетевого монитора, предоставляемые в Nmapi.dll для анализа данных. Файлы записи недоступны до завершения записи.