pktmon start

Область применения: Windows Server 2022, Windows Server 2019, Windows 10, Azure Stack HCI, Azure Stack Hub, Azure Stack Hub

Запускает сбор пакетов и сбор событий.

Синтаксис

pktmon start [--capture [--counters-only] [--comp <selector>] [--type <type>] [--pkt-size <bytes>] [--flags <mask>]]
             [--trace --provider <name> [--keywords <k>] [--level <n>] ...]
             [--file-name <name>] [--file-size <size>] [--log-mode <mode>]

Параметры записи пакетов

Используйте -c или --capture , чтобы включить сбор пакетов и счетчики пакетов, а также следующие необязательные параметры.

Параметр Описание
-o, --counters-only Сбор только счетчиков пакетов. Нет ведения журнала пакетов.
--comp Выберите компоненты для записи пакетов. Могут быть все компоненты (все), только сетевые карты (сетевые карты) или список идентификаторов компонентов. По умолчанию используется все значения.
--type Выберите пакеты для записи. Может быть всем, потоком или удалением. По умолчанию — все.
--pkt-size <байт> Количество байтов для записи из каждого пакета. Чтобы всегда регистрировать весь пакет, задайте значение 0. Значение по умолчанию — 128 байт.
Маска --flags <> Шестнадцатеричная битовая маска, управляющая сведениями, записанными во время записи пакетов. Значение по умолчанию — 0x012. Флаги записи пакетов, приведенные ниже.

Флаги записи пакетов

Следующие флаги применяются к параметру --flags (см. выше).

Пометить Описание
0x001 Ошибки монитора внутренних пакетов.
0x002 Сведения о компонентах, счетчиках и фильтрах. Эти сведения добавляются в конец файла журнала.
0x004 Сведения об источнике и назначении для первого пакета в группе NET_BUFFER_LIST.
0x008 Выберите метаданные пакета из перечисления NDIS_NET_BUFFER_LIST_INFO.
0x010 Необработанный пакет, усеченный до размера, указанного в параметре [-pkt-size].

Параметры сбора событий

Используйте -t или --trace для включения сбора событий вместе со следующими необязательными параметрами.

Параметр Описание
-p, --provider <name> Имя поставщика событий или GUID. Для нескольких поставщиков используйте этот параметр несколько раз.
-k, --keywords <k> Шестнадцатеричная битовая маска, которая определяет, какие события регистрируются для соответствующего поставщика. Значение по умолчанию — 0xFFFFFFFF.
-l, --level <n> Уровень ведения журнала для соответствующего поставщика. Значение по умолчанию — 4 (уровень сведений).

Параметры ведения журнала

Используйте следующие параметры для ведения журнала:

Параметр Описание
-f, --file-name name <> Имя файла журнала. Значение по умолчанию — PktMon.etl.
-s, --file-size <> Максимальный размер файла журнала в мегабайтах. Значение по умолчанию — 512 МБ.
-m, --log-mode Задает режим ведения журнала (см. ниже). Значение по умолчанию — циклическое.

Режимы ведения журнала

Следующие режимы применяются к параметру -m или --log-mode (см. выше).

Режим Описание
Круговой Новые события перезаписывают самые старые, когда журнал заполнен.
несколько файлов При каждом заполнении журнала создается новый файл журнала. Файлы журнала последовательно нумеруются: PktMon1.etl, PktMon2.etl и т. д. Количество захваченных событий не ограничено.
режим реального времени Отображение событий и пакетов на экране в режиме реального времени. Файл журнала не создается. Нажмите клавиши CTRL+C , чтобы остановить мониторинг.
Памяти Как и циклический, но весь журнал хранится в памяти. Он записывается в файл при остановке pktmon. Размер буфера памяти указывается в параметре [--file-size].

Примеры

Пример 1. Запись пакетов

C:\Test> pktmon start --capture

Пример 2. Только счетчики пакетов

C:\Test> pktmon start --capture --counters-only

Пример 3. Ведение журнала событий

C:\Test> pktmon start --trace -p Microsoft-Windows-TCPIP -p Microsoft-Windows-NDIS

Пример 4. Запись пакетов с ведением журнала событий

C:\Test> pktmon start --capture --trace -p Microsoft-Windows-TCPIP -k 0xFF -l 4

Дополнительные ссылки