pktmon etl2pcap
적용 대상: Windows Server 2022, Windows Server 2019, Windows 10, Azure Stack HCI, Azure Stack Hub, Azure
pktmon 로그 파일을 pcapng 형식으로 변환합니다. 삭제된 패킷은 기본적으로 포함되지 않습니다. 이러한 로그는 Wireshark(또는 모든 pcapng 분석기)를 사용하여 분석할 수 있습니다.
구문
pktmon etl2pcap <file> [--out <name>] [--drop-only] [--component-id <id>]
변환할 ETL 파일은 어디에 <file> 있습니다.
매개 변수
| 매개 변수 | 설명 |
|---|---|
| -o, --out <이름> | 서식이 지정된 pcapng 파일의 이름입니다. |
| -d, --drop-only | 삭제된 패킷만 변환합니다. |
| -c, --component-id <id> | 특정 구성 요소 ID로 패킷을 필터링합니다. |
출력 필터링
네트워킹 스택을 통한 패킷 삭제 보고서 및 패킷 흐름에 대한 모든 정보는 pcapng 형식 출력으로 손실됩니다. 전체 변환을 표시하려면 로그 내용을 신중하게 미리 필터링해야 합니다. 예시:
- Pcapng 형식은 흐르는 패킷과 삭제된 패킷을 구분하지 않습니다. 캡처의 모든 패킷을 삭제된 패킷과 분리하려면 두 개의 pcapng 파일을 생성합니다. 하나는 모든 패킷(
pktmon etl2pcap log.etl --out log-capture.etl)을 포함하고 다른 하나는 삭제된 패킷(pktmon etl2pcap log.etl --drop-only --out log-drop.etl)만 포함합니다. 이렇게 하면 삭제된 패킷을 별도의 로그에서 분석할 수 있습니다. - Pcapng 형식은 패킷이 캡처된 여러 네트워킹 구성 요소를 구분하지 않습니다. 이러한 다중 계층 시나리오의 경우 pcapng 출력
pktmon etl2pcap log.etl --component-id 5에서 원하는 구성 요소 ID를 지정합니다. 관심 있는 각 구성 요소 ID 집합에 대해 이 명령을 반복합니다.