pktmon etl2pcap
Область применения: Windows Server 2022, Windows Server 2019, Windows 10, Azure Stack HCI, Azure Stack Hub, Azure Stack Hub
Преобразуйте файл журнала pktmon в формат pcapng. Удаленные пакеты по умолчанию не включаются. Эти журналы можно анализировать с помощью Wireshark (или любого анализатора pcapng).
Синтаксис
pktmon etl2pcap <file> [--out <name>] [--drop-only] [--component-id <id>]
Где <file>
находится файл ETL для преобразования.
Параметры
Параметр | Description |
---|---|
-o, --out <name> | Имя отформатированного pcapng-файла. |
-d, --drop-only | Преобразуйте только удаленные пакеты. |
-c, --component-id id <> | Фильтрация пакетов по определенному идентификатору компонента. |
Фильтрация выходных данных
Все сведения о отчетах об удалении пакетов и потоке пакетов через сетевой стек теряются в выходных данных формата pcapng. Содержимое журнала должно быть тщательно профилировано для отображения полного преобразования. Например:
- Формат Pcapng не отличается от потока пакета и удаленного пакета. Чтобы разделить все пакеты в записи от удаленных пакетов, создайте два pcapng-файла; один из них содержит все пакеты (
pktmon etl2pcap log.etl --out log-capture.etl
) и другой, содержащий только удаленные пакеты (pktmon etl2pcap log.etl --drop-only --out log-drop.etl
). Таким образом вы можете проанализировать удаленные пакеты в отдельном журнале. - Формат Pcapng не отличается от различных сетевых компонентов, в которых был записан пакет. Для таких многоуровневых сценариев укажите идентификатор требуемого компонента в выходных данных
pktmon etl2pcap log.etl --component-id 5
pcapng. Повторите эту команду для каждого набора идентификаторов компонентов, которые вам нужны.