Immer wieder komme ich zu Kunden, bei denen das Netzwerk oder eine Applikation „langsam“ ist. Im Eventlog steht natürlich nichts und schnell soll der Fehler behoben. Nur welchen Fehler? Es gibt ja keinen (zumindest offensichtlich keinen)

An diesem Punkt ist es nützlich sich mal das Netzwerk und den aktuellen Traffic darin anzugucken. Ich zeichne mit WireShark ca. 2000 Frames auf, das soll für einen schnellen Blick unter die Motorhaube ausreichend sein.

Wichtig ist, dass man ein paar echte TCP Frames aufzeichnet, um einen Überblick zu erhalten.

Im Menü unter:

Statistics – TCP Steam Graph – Round Trip Time Graph

Bekommt man eine Übersicht, ob die RTT zu lange ist. Im Normalfall sollte die RTT zwischen 0,2 und 0,4 liegen, damit ein Netz vernünftig antwortet.

clip_image002

Die Punktelinie ist etwas schwer zu erkennen, das liegt aber an WireShark und an den wenigen Frames die ich zur Verfügung hatte.

Sollten hier Werte deutlich über 0,4 Sekunden ausgewertet werden, dann muss man sich diese Frames etwas genauer angucken.

Eine sehr schöne Auswertung kann man über einen weiteren IO Graphen erhalten. Über:

Statistics – IO Graph bekommt man ein weiteres Fenster in dem man die entsprechenden Filter definieren kann. Hier passiert nun der eigentliche Zauber Smiley

WireShark liefert einen genialen Filter mit einem extrem nützlichen Schalter (Ich meine fast sogar undokumentiert).

Der Filter lautet: tcp.analysis.ack_rtt (standard)

Diesen Filter wird mit dem Schalter >0.2 erweitert, um die „Ausreißer“ zu erkennen. Ich definiere mir immer einen 2. Filter der den Wert >0.4 bekommt, um Spitzenwerte zu erfassen.

clip_image004

In dieser Grafik sieht man die schwarze Linie mit den Frames >0.2 und die rote Linie (nahezu unsichtbar) zeigt Frames mit einer RTT von >0.4. Hier ist alles ok, aber wenn man eine Spitze findet, kann man direkt aus der Grafik auf das Frame klicken und den Inhalt analysieren. Somit kann man zumindest schnell den Kommunikationsweg identifizieren, den man genauer untersuchen muss. Ganz oft zeigt sich das Problem bei den Netzwerkkarten Treiber, die einfach zu alt oder schlicht falsch konfiguriert waren.