pktmon etl2pcap
Gilt für: Windows Server 2022, Windows Server 2019, Windows 10, Azure Stack HCI, Azure Stack Hub, Azure
Konvertiert die pktmon-Logdatei in das pcapng-Format. Verworfene Pakete sind standardmäßig nicht enthalten. Diese Protokolle können mit Wireshark (oder einem beliebigen pcapng-Analysetool) analysiert werden.
Syntax
pktmon etl2pcap <file> [--out <name>] [--drop-only] [--component-id <id>]
Wenn <file>
die zu konvertierende ETL-Datei ist.
Parameter
Parameter | Beschreibung |
---|---|
-o, --out <Name> | Name der formatierten pcapng-Datei. |
-d, --drop-only | Konvertiert nur verworfene Pakete. |
-c, --component-id <id> | Filtern von Paketen nach einer bestimmten Komponenten-ID. |
Ausgabefilterung
In der pcapng-Formatausgabe sind keinerlei Informationen zu Berichten zu verworfenen Paketen sowie zum Paketfluss durch den Netzwerkstapel enthalten. Protokollinhalte müssen vorab sorgfältig gefiltert werden, um die vollständige Konvertierung anzuzeigen. Beispiel:
- Das pcapng-Format unterscheidet nicht zwischen einem übermittelten Paket und einem verworfenen Paket. Um alle Pakete in der Erfassung von verworfenen Paketen zu trennen, generieren Sie zwei pcapng-Dateien: eine mit allen Paketen (
pktmon etl2pcap log.etl --out log-capture.etl
) und eine, die nur die verworfenen Pakete enthält (pktmon etl2pcap log.etl --drop-only --out log-drop.etl
). Auf diese Weise können Sie die verworfenen Pakete in einem separaten Protokoll analysieren. - Das pcapng-Format unterscheidet nicht zwischen verschiedenen Netzwerkkomponenten, für die ein Paket erfasst wurde. Geben Sie für solche Szenarien mit mehreren Ebenen die gewünschte Komponenten-ID in der pcapng-Ausgabe
pktmon etl2pcap log.etl --component-id 5
an. Führen Sie diesen Befehl für alle Komponenten-IDs aus, an denen Sie interessiert sind.