pktmon etl2pcap
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows 10, Azure Stack HCI, Azure Stack Hub, Azure
Converta o arquivo de log pktmon no formato pcapng. Os pacotes removidos não são incluídos por padrão. Esses logs podem ser analisados usando o Wireshark (ou qualquer analisador pcapng).
Sintaxe
pktmon etl2pcap <file> [--out <name>] [--drop-only] [--component-id <id>]
Onde <file>
é o arquivo ETL a ser convertido.
Parâmetros
Parâmetro | Descrição |
---|---|
-o, --out <name> | Nome do arquivo pcapng formatado. |
-d, --drop-only | Converte somente os pacotes removidos. |
-c, --component-id <id> | Filtra os pacotes por uma ID de componente específica. |
Filtragem de saída
Todas as informações sobre os relatórios de descarte de pacotes e o fluxo de pacotes pela pilha de rede são perdidas na saída do formato pcapng. O conteúdo do log deve ser cuidadosamente pré-filtrado para mostrar a conversão completa. Por exemplo:
- O formato pcapng não distingue entre o fluxo de pacote e a remoção de pacote. Para separar todos os pacotes na captura de pacotes removidos, gere dois arquivos pcapng: um que contém todos os pacotes (
pktmon etl2pcap log.etl --out log-capture.etl
) e outro que contém apenas pacotes removidos (pktmon etl2pcap log.etl --drop-only --out log-drop.etl
). Dessa forma, você pode analisar os pacotes descartados em um log separado. - O formato pcapng não distingue entre os diferentes componentes de rede em que um pacote foi capturado. Para esses cenários multicamadas, especifique a ID do componente desejado na saída do pcapng
pktmon etl2pcap log.etl --component-id 5
. Repita este comando para cada conjunto de IDs de componente em que você está interessado.