pktmon start
Область применения: Windows Server 2022, Windows Server 2019, Windows 10, Azure Stack HCI, Azure Stack Hub, Azure Stack Hub
Запускает сбор пакетов и сбор событий.
Синтаксис
pktmon start [--capture [--counters-only] [--comp <selector>] [--type <type>] [--pkt-size <bytes>] [--flags <mask>]]
[--trace --provider <name> [--keywords <k>] [--level <n>] ...]
[--file-name <name>] [--file-size <size>] [--log-mode <mode>]
Параметры записи пакетов
Используйте функцию -c или --capture , чтобы включить счетчики отслеживания пакетов и пакетов, а также следующие необязательные параметры.
Параметр | Description |
---|---|
-o, --counters-only | Собирать только счетчики пакетов. Нет ведения журнала пакетов. |
--Комп | Выберите компоненты для записи пакетов. Могут быть все компоненты (все), только сетевые адаптеры (сетевые карты) или список идентификаторов компонентов. По умолчанию для всех. |
--Тип | Выберите пакеты для записи. Может быть все, поток или падение. Значение по умолчанию — все. |
--pkt-size <байт> | Количество байтов для входа из каждого пакета. Чтобы всегда регистрировать весь пакет, задайте для этого значение 0. Значение по умолчанию — 128 байт. |
--flags <mask> | Шестнадцатеричная битовая маска, которая управляет сведениями, записанными во время записи пакетов. Значение по умолчанию — 0x012. Флаги записи пакетов ниже. |
Флаги записи пакетов
Следующие флаги применяются к параметру --flags (см. выше).
Параметр | Description |
---|---|
0x001 | Ошибки внутреннего монитора пакетов. |
0x002 | Сведения о компонентах, счетчиках и фильтрах. Эта информация добавляется в конец файла журнала. |
0x004 | Исходные и целевые сведения для первого пакета в группе NET_BUFFER_LIST. |
0x008 | Выберите метаданные пакета из перечисления NDIS_NET_BUFFER_LIST_INFO. |
0x010 | Необработанный пакет, усеченный до размера, указанного в параметре [-pkt-size]. |
Параметры сбора событий
Используйте -t или --trace , чтобы включить коллекцию событий вместе со следующими необязательными параметрами.
Параметр | Description |
---|---|
-p, --provider <name> | Имя поставщика событий или GUID. Для нескольких поставщиков используйте этот параметр несколько раз. |
-k, --ключевое слово s <k> | Шестнадцатеричная битовая маска, которая определяет, какие события регистрируются для соответствующего поставщика. Значение по умолчанию — 0xFFFFFFFF. |
-l, --level <n> | Уровень ведения журнала для соответствующего поставщика. Значение по умолчанию — 4 (уровень информации). |
Параметры ведения журналов
Используйте следующие параметры для ведения журнала:
Параметр | Description |
---|---|
-f, --file-name name <> | Имя файла журнала. Значение по умолчанию — PktMon.etl. |
-s, --file-size <> | Максимальный размер файла журнала в мегабайтах. Значение по умолчанию — 512 МБ. |
-m, --log-mode | Задает режим ведения журнала (см. ниже). По умолчанию используется циклический цикл. |
Режимы ведения журнала
Следующие режимы применяются к параметру -m или --log-mode (см. выше).
Режим | Description |
---|---|
Круговой | Новые события перезаписывают старые, когда журнал заполнен. |
многофайловый | При каждом заполнении журнала создается новый файл журнала. Файлы журнала последовательно нумеруются: PktMon1.etl, PktMon2.etl и т. д. Нет ограничений на количество захваченных событий. |
в режиме реального времени | Отображение событий и пакетов на экране в режиме реального времени. Файл журнала не создается. Нажмите клавиши CTRL+C , чтобы остановить мониторинг. |
memory | Как циклический, но весь журнал хранится в памяти. Он записывается в файл при остановке pktmon. Размер буфера памяти указывается в параметре [-file-size]. |
Примеры
Пример 1. Сбор пакетов
C:\Test> pktmon start --capture
Пример 2. Только счетчики пакетов
C:\Test> pktmon start --capture --counters-only
Пример 3. Ведение журнала событий
C:\Test> pktmon start --trace -p Microsoft-Windows-TCPIP -p Microsoft-Windows-NDIS
Пример 4. Запись пакетов с помощью ведения журнала событий
C:\Test> pktmon start --capture --trace -p Microsoft-Windows-TCPIP -k 0xFF -l 4