Verwenden von Netsh zum Verwalten von Ablaufverfolgungen

In Windows 7 können netsh.exe über eine Eingabeaufforderung verwendet werden, um Netzwerkverfolgungen zu aktivieren und zu konfigurieren. In diesem Abschnitt werden einige der netsh.exe beschrieben, die bei der Behandlung von Ablaufverfolgungsproblemen helfen können, einschließlich der neuen Netsh-Ablaufverfolgungsfunktion. Beachten Sie, dass die netsh-Befehle über eine Eingabeaufforderung mit erhöhten Rechten ausgeführt werden müssen.

Erfassen von Ablaufverfolgungen

Szenarien sind vordefinierte Sätze von Ablaufverfolgungsanbietern, die für die Problembehandlung aktiviert werden können. Um die Liste der verfügbaren netzwerkbezogenen Szenarien anzuzeigen, geben Sie netsh trace show scenarios ein (netsh trace show providers lists every one of the available providers, including ones that are not relevant to networking).

Wenn Sie ein Szenario identifiziert haben, das für Ihre Probleme relevant ist, wird eine Liste aller Anbieter angezeigt, die in diesem Szenario enthalten sind. Um beispielsweise alle Anbieter anzuzeigen, die im InternetClient-Szenario aktiviert sind, geben Sie netsh trace show scenario internetclient ein.

Sie können eine Ablaufverfolgung für alle Anbieter in einem bestimmten Szenario oder einer Reihe von Szenarien starten. Um beispielsweise eine Ablaufverfolgung für alle Anbieter zu starten, die im InternetClient-Szenario aktiviert sind, geben Sie netsh trace start scenario=internetclient ein. Um Anbieter für mehr als ein Szenario zu erfassen, können Sie alle entsprechenden Szenarien angeben, z. B. netsh trace start scenario=FileSharing scenario=DirectAccess. Beachten Sie, dass nur eine Ablaufverfolgungssitzung gleichzeitig aktiviert werden kann. Es ist nicht möglich, ablaufverfolgungsinformationen aus verschiedenen Sätzen von Anbietern gleichzeitig in separaten Dateien zu erfassen.

Sie können auch eine Ablaufverfolgung für zusätzliche Anbieter starten, die nicht in diesem bestimmten Szenario enthalten sind. Beispielsweise können Sie Ablaufverfolgungen für alle Anbieter starten, die im WLAN-Szenario aktiviert sind, sowie für den DHCP-Anbieter. Geben Sie hierzu netsh trace start scenario=wlan provider=Microsoft-Windows-Dhcp-Client ein.

Sie können auch weitere Details zu einem bestimmten Anbieter anzeigen, indem Sie netsh trace show provider gefolgt vom Anbieternamen eingeben.

Um alle verfügbaren Optionen und Filter zu sehen, können Sie netsh trace start /? eingeben.

Geben Sie netsh trace stop ein, um die Ablaufverfolgung zu beenden.

Verwenden der Ausgabedateien

Wenn die Ablaufverfolgung beendet wird, werden standardmäßig zwei Dateien generiert: eine ETL-Datei (Event Trace Log) und eine .cab Datei.

Ablaufverfolgungsereignisse werden in der ETL-Datei gesammelt, die mitHilfe von Tools wie Netzwerkmonitor. Die ETL-Datei hat standardmäßig den Namen nettrace.etl, oder Sie können einen anderen Namen angeben, indem Sie tracefile=filename.etl beim Starten der Ablaufverfolgung angeben.

Die .cab enthält umfassende Informationen zur Software und Hardware auf dem System, z. B. Adapterinformationen, Build, Betriebssystem und Funkeinstellungen. Die .cab-Datei wird standardmäßig nettrace.cab benannt, es sei denn, ein anderer Name wurde wie oben angegeben angegeben.

Diese .cab datei enthält zwei Dateien, die immer denselben Namen haben. Report.etl ist eine weitere Kopie der gleichen Informationen, die in nettrace.etl enthalten sind. Die report.html enthält zusätzliche Informationen zu den Ablaufverfolgungsereignissen und den anderen gesammelten Informationen. Um die meisten verfügbaren Details zu erhalten, fügen Sie beim Starten einer Ablaufverfolgung den Befehl report = yes ein.

Verwenden von Filtern zum Reduzieren der Datenmenge in der ETL-Ablaufverfolgungsdatei

Wenn Erfassungen über einen längeren Zeitraum geschehen, kann die ETL-Ablaufverfolgungsdatei sehr groß werden. In Szenarien, in denen mehrere Anbieter aktiviert sind, was zu hohem Datenverkehr führt, können ETW-Puffereinschränkungen dazu führen, dass einige Ablaufverfolgungen gelöscht werden. Abgesehen von dieser Überlegung kann die Reduzierung der Datenmenge in der ETL-Ablaufverfolgungsdatei die Problembehandlung vereinfachen, indem die Menge der zu überprüfenden Daten reduziert wird.

Netsh-Ablaufverfolgungsfilter können verwendet werden, um die Größe der ETL-Ablaufverfolgungsdatei zu reduzieren. Diese Ablaufverfolgungsfilter sind ETW-Ebenen und Schlüsselwörter, die auf einzelne Anbieter angewendet werden können.

Um eine Liste der Filter zu sehen, die angewendet werden können, geben Sie netsh trace start /? ein.

Ein Beispiel für einen Filter ist netsh trace start InternetClient provider=Microsoft-Windows-TCPIP level=5 keywords=ut:ReceivePath,ut:SendPath.

In diesem Beispiel ist die Ebene auf 5 festgelegt, was bedeutet, dass die maximale Anzahl von Ereignissen angezeigt wird. In der folgenden Tabelle sind die verfügbaren Einstellungen aufgeführt:

Ebene Einstellung Beschreibung
1 Kritisch Es werden nur kritische Ereignisse angezeigt.
2 Errors Kritische Ereignisse und Fehler werden angezeigt.
3 Warnungen Kritische Ereignisse, Fehler und Warnungen werden angezeigt.
4 Informational Kritische Ereignisse, Fehler, Warnungen und Informationsereignisse werden angezeigt.
5 Ausführlich Alle Ereignisse werden angezeigt.

Die Schlüsselwörter ut:ReceivePath und ut:SentPath filtern die Ereignisse so, dass nur die Ereignisse angezeigt werden, die im Empfangs- oder Sendepfad nachverfolgt werden. Eine vollständige Liste der Schlüsselwörter für einen bestimmten Anbieter finden Sie, indem Sie netsh trace show provider gefolgt vom Anbieternamen eingeben. Wenn Sie beispielsweise netsh trace show provider Microsoft-Windows-TCPIP eingeben, werden Informationen zum Microsoft-Windows-TCPIP-Anbieter angezeigt, einschließlich einer Liste von Schlüsselwörtern.

Netsh unterstützt auch die Paketfilterfunktion (ähnlich wie Netzwerkmonitor), wenn die Paketerfassung aktiviert ist (durch Festlegen von capture = yes). Die Paketfilterung kann verwendet werden, um eine begrenzte Anzahl von Paketen in einer Ablaufverfolgungsdatei zu erfassen. Netsh trace start capture = yes ipv4.address = x.x.x.x , wobei x.x.x.x die IP-Adresse ist, erfasst beispielsweise nur Pakete mit ipv4-Datenverkehr mit dieser spezifischen Quell- oder Zieladresse.

Weitere Informationen zur Verwendung der Paketfilterung finden Sie unter netsh trace show capturefilterHelp.