はじめに
Windowsサーバ等でパケットキャプチャしたいけど、サーバにサードパーティ製のアプリはあまりインストールしたくない時に… netsh コマンドでキャプチャできます。
netsh コマンドでキャプチャしたデータは、そのままでは Wireshark で読み込めないので etl2pcapng で変換します。
キャプチャを開始します
c:\NetTraces>netsh trace start capture=yes traceFile="NetTrace.etl"
トレース構成:
-------------------------------------------------------------------
ステータス: 実行中
トレース ファイル: c:\NetTraces\NetTrace.etl
追加: オフ
循環: オン
最大サイズ: 512 MB
レポート: オフ
キャプチャの状況表示するには
c:\NetTraces>netsh trace show status
キャプチャを停止します
c:\NetTraces>netsh trace stop
トレースの結合中... 完了
データ収集を生成しています ... 完了
トレース ファイルと追加のトラブルシューティング情報は、"c:\NetTraces\NetTrace.cab" としてコンパイルされました。
ファイルの場所 = c:\NetTraces\NetTrace.etl
トレース セッションは正常に停止しました。
コマンドラインオプション
| オプション | 意味 |
|---|---|
| CaptureInterface="ローカル エリア接続" | インターフェースを指定します |
| Ethernet.Type=IPv4 | イーサネットタイプを指定します |
| Protocol=TCP | プロトコルを指定します |
| IPv4.Address=192.0.2.1 | IPアドレスを指定します |
| IPv4.SourceAddress=192.0.2.1 | 送信元IPアドレスを指定します |
| IPv4.DestinationAddress=192.0.2.1 | 送信先IPアドレスを指定します |
| persistent=yes | 再起動後もキャプチャを続けます |
| traceFile=NetTrace.etl | 出力ファイルを指定します |
| maxSize=500 | 出力ファイルの最大サイズを指定します |
出力したファイル(NetTrace.etl)を Wireshark がインストールされたクライアントへコピーします
コピーしたファイル(NetTrace.etl)を Wireshark で開ける形式に変換します
etl2pcapng をダウンロード・展開します
etl2pcapng のサイトから etl2pcapng.zip をダウンロードし展開します
NetTrace.etl を変換します
etl2pcapng.exe NetTrace.etl out.pcapng