Kerio Network Monitor Daemon sleduje provoz na síti v tzv. promiskuitním režimu (tzn. dokáže přijímat i data, která nejsou adresována počítači, na němž běží). Zachytává veškeré pakety protokolu IP, z nichž získává požadované informace:
V každém zachyceném IP paketu se provede kontrola zdrojové a cílové adresy. Jestliže jedna z těchto adres patří do lokální sítě a druhá do Internetu (jedná se tedy o přenos dat mezi lokální sítí a Internetem), změří se velikost datové části transportního protokolu (TCP nebo UDP) a tento údaj se zaznamená. Patří-li obě adresy do lokální sítě nebo obě do Internetu, objem dat se nezaznamenává.
Které IP adresy patří do lokální sítě a které do Internetu je dáno konfigurací programu — viz kapitola 6.1.
Poznámka: Různé nástroje pro monitorování sítě používají různí metody měření objemu přenesených dat (např. celé ethernetové rámce, objem dat v IP paketech včetně hlaviček apod.). Údaje získané programem Kerio Network Monitor se proto mohou lišit od údajů získaných jinými nástroji (odchylka by však neměla přesáhnout cca 40% — jedná-li se např. o několikanásobný rozdíl, je třeba hledat chybu v síti či konfiguraci programu).
Ve všech zachycených IP paketech jsou hledány TCP segmenty navazující a ukončující spojení (s příznaky SYN a FIN). Kerio Network Monitor tak má informaci o všech aktivních spojeních jednotlivých stanic v síti. Obdobným způsobem se zobrazuje komunikace protokolem UDP. Protože se však jedná o nespojovaný protokol, vyhodnocují se tzv. pseudospojení — spojení trvá, dokud interval výměny UDP datagramů mezi zdrojovou a cílovou stanicí nepřesáhne stanovený čas (standardně 180 sekund).
Každý zachycený IP paket je zkontrolován, zda neobsahuje data některé z definovaných služeb (viz kapitola 6.2). Pokud ano, jsou tato data zaznamenána.
Jako příklad uveďme přenos pošty protokolem SMTP. Je-li zaznamenáno navázání TCP spojení s cílovým portem 25, začnou se sledovat všechny pakety patřící do tohoto spojení a z nich pak může být zjištěna e-mailová adresa odesílatele a příjemce zprávy, případně zrekonstruován obsah celé zprávy.
Všechny konfigurační informace programu Kerio Network Monitor jsou uloženy v konfiguračním souboru NetMon2.cfg. Tento soubor je uložen v adresáři, kde je Kerio Network Monitor nainstalován (typicky C:\Program Files\Kerio\Network Monitor). Chcete-li zálohovat nastavení, stačí zkopírovat tento soubor.
Upozornění: Před jakoukoliv manipulací s konfiguračním souborem je třeba zastavit Kerio Network Monitor Daemon (viz kapitola 5.2)!
Naměřená data jsou ukládána do binárních souborů na disku. V datovém adresáři (standardně tentýž adresář, kde je Kerio Network Monitor instalován) jsou vytvořeny následující podadresáře:
high — data s vysokým rozlišením (vzorkování po 3 sekundách)
low — data s nízkým rozlišením (vzorkování po 1 hodině)
V těchto adresářích se vytvářejí další podadresáře dle IP adres jednotlivých počítačů v lokální síti a v nich pak soubory s naměřenými daty (data s vysokým rozlišením — jeden soubor denně, data s nízkým rozlišením — jeden soubor každých 28 dnů).
Dále se zde vytvářejí podadresáře:
browse — informace o zachycených objektech sledovaných služeb (URL stránek, e-mailové adresy, FTP relace atd.)
captured — zachycené objekty (např. zachycené WWW stránky, e-mailové zprávy apod.)
logs — soubory se záznamy (viz kapitola 7.7)
debug — data ukládaná při detailním sledování určité služby (viz kapitola 6.2)
Adresářová struktura pro ukládání dat je poměrně flexibilní, neboť umožňuje např.:
sloučení dat s jinými daty (jedná-li se o dvě různá, navzájem se nepřekrývající období)
vymazání záznamů pro určitý počítač (IP adresu)
vymazání dat určité služby (např. WWW).
Před prováděním operací tohoto typu je třeba zastavit Kerio Network Monitor Daemon (viz kapitola 5.2).
Potřebujete-li změnit adresář pro ukládání naměřených a zachycených dat a záznamových souborů (aby se např. data ukládala na jiný disk), je možné to provést úpravou příslušného parametru v konfiguračním souboru.
Nejprve je nutno zastavit službu Network Monitor Daemon (viz kapitola 5.2). Pak otevřete v libovolném editoru (např. Notepad) konfigurační soubor NetMon2.cfg (viz sekce Konfigurační soubor). Adresář pro data je uveden v parametru main_dir. Z technických důvodů musejí být při zápisu cesty zdvojována zpětná lomítka — cesta do zvoleného datového adresáře může tedy vypadat např. takto:
main_dir = "d:\\netmon_data"
Změnu datového adresáře je nejvhodnější provést ihned po instalaci programu Kerio Network Monitor, kdy ještě nejsou naměřena žádná data. Provádíte-li změnu až po určité době používání programu, je nutné do nového umístění zkopírovat (resp. přesunout) adresáře s naměřenými daty a záznamy, tj. browse, captured, debug, high, logs, low a www.
Upozoronění: Podadresář license musí zůstat ve stejném adresáři jako programové soubory (tj. kam byl Kerio Network Monitor původně instalován)!
Po změně adresáře a případném zkopírování naměřených dat můžete opět spustit Network Monitor Daemon.