pktmon etl2pcap
适用于:Windows Server 2022、Windows Server 2019、Windows 10、Azure Stack HCI、Azure Stack Hub、Azure
将 pktmon 日志文件转换为 pcapng 格式。 默认情况下不包括丢弃的数据包。 可使用 Wireshark(或任何 pcapng 分析器)分析这些日志。
语法
pktmon etl2pcap <file> [--out <name>] [--drop-only] [--component-id <id>]
其中 <file> 是要转换的 ETL 文件。
参数
| 参数 | 描述 |
|---|---|
| -o, --out <name> | 格式化的 pcapng 文件的名称。 |
| -d, --drop-only | 仅转换丢弃的数据包。 |
| -c, --component-id <id> | 按特定组件 ID 筛选数据包。 |
输出筛选
有关数据包丢弃报告和通过网络堆栈的数据包流的所有信息都将在 pcapng 格式的输出中丢失。 应仔细预筛选日志内容以显示完整的转换。 例如:
- Pcapng 格式不区分流动的数据包和丢弃的数据包。 若要将捕获中的所有数据包与丢弃的数据包分开,请生成两个 pcapng 文件,一个包含所有数据包 (
pktmon etl2pcap log.etl --out log-capture.etl),另一个仅包含丢弃的数据包 (pktmon etl2pcap log.etl --drop-only --out log-drop.etl)。 这样,你将能够在单独的日志中分析丢弃的数据包。 - Pcapng 格式不区分捕获数据包的不同网络组件。 对于此类多层方案,请在 pcapng 输出
pktmon etl2pcap log.etl --component-id 5中指定所需的组件 ID。 对你感兴趣的每组组件 ID 重复此命令。