IT Solutions Technology Blog

Netsh Commands for Network Trace – how to collect network trace without installing Wireshark on a Windows OS

PS C:\Windows\system32>netsh trace stop

Examples:

PS C:\Windows\system32> netsh trace start capture=yes  fileMode=circular tracefile=C:\Log\nettrace_$env:computername.etl persistent=yes maxsize=4096 report=disabled

PS C:\Windows\system32> netsh trace start capture=yes ipv4.address=192.168.1.253 fileMode=circular tracefile=C:\Log\nettrace_$env:computername.etl persistent=yes maxsize=4096 report=disabled

PS C:\Windows\system32> netsh trace start capture=yes Ethernet.Type=IPv4 Protocol=TCP fileMode=circular tracefile=C:\Log\nettrace_$env:computername.etl persistent=yes maxsize=4096 report=disabled

…
Ablaufverfolgungskonfiguration:
——————————————————————-
Status: Wird ausgeführt
Ablaufverfolgungsdatei: C:\Log\nettrace.etl
Anfügen: Aus
Kreisförmig: Ein
Maximale Größe: 4096 MB
Bericht: Deaktiviert

The C:\Log\nettrace.etl file can have a maximum size of 4096MB and will be overwritten using circular logging when this size is reached

PS C:\Windows\system32> netsh trace stop
…
Ablaufverfolgungen werden korreliert… fertig
Ablaufverfolgungen werden zusammengeführt… fertig
Dateispeicherort = C:\Log\nettrace.etl
Die Ablaufverfolgungssitzung wurde erfolgreich beendet.

etl2pcapng – utility that converts an .etl file containing a Windows network packet capture into .pcapng format

PS C:\PC_SAVE\USB-Stick\PC_TOOLS\ETL2PCAPNG\etl2pcapng.exe C:\Log\nettrace_$env:computername.etl C:\Log\nettrace_$env:computername.pcapng

C:\> C:\PC_SAVE\USB-Stick\PC_TOOLS\WiresharkPortable64\WiresharkPortable64.exe C:\Log\nettrace_$env:computername.pcapng

PS C:\> netsh.exe trace start help

start
Startet die Ablaufverfolgung.

Verwendung: trace start [sessionname=<Sitzungsname>]
[[scenario=]<Szenario1,Szenario2>]
[[globalKeywords=]keywords] [[globalLevel=]level]
[[capture=]yes|no] [[capturetype=]physical|vmswitch|both]
[[report=]yes|no|disabled] [[persistent=]yes|no]
[[traceFile=]path\filename] [[maxSize=]filemaxsize]
[[fileMode=]single|circular|append] [[overwrite=]yes|no]
[[correlation=]yes|no|disabled] [capturefilters]
[[provider=]providerIdOrName] [[keywords=]keywordMaskOrSet]
[[level=]level] [bufferSize=<Puffergröße>]
[[[provider=]provider2IdOrName] [[providerFilter=]yes|no]]
[[keywords=]keyword2MaskOrSet] [[perfMerge=]yes|no]
[[level=]level2] …

Standardwerte:
capture=no (gibt an, ob die Paketerfassung zusätzlich zu
Ablaufverfolgungsereignissen aktiviert wird)
capturetype=physical (gibt an, ob die Paketerfassung nur für
physische Netzwerkadapter, nur für virtuelle Switches
oder sowohl für physische Netzwerkadapter als auch virtuelle Switches aktiviert werden muss)
report=no (gibt an, ob ein ergänzender Bericht zusammen mit der
Ablaufverfolgungsdatei generiert wird)
persistent=no (gibt an, ob die Ablaufverfolgungssitzung über mehrere
Neustarts fortgesetzt wird und aktiviert bleibt bis „netsh trace stop“ ausgegeben wird)
maxSize=250 MB (gibt die maximale Größe der Ablaufverfolgungsdatei an, 0=kein Höchstwert)
bufferSize=512 (gibt die Größe des Trace-Puffers in KB an, Mindestwert: 4, Höchstwert: 16384)
fileMode=circular
overwrite=yes (gibt an, ob eine vorhandene Ablaufverfolgungs-Ausgabedatei
überschrieben wird)
correlation=disabled (gibt an, ob verwandte Ereignisse korreliert
und gruppiert werden)
perfMerge=yes (Gibt an, ob Leistungsmetadaten in der Ablaufverfolgung
zusammengeführt werden)
traceFile=%LOCALAPPDATA%\Temp\netTraces\[sessionname]NetTrace.etl
(gibt den Speicherort der Ausgabedatei an)
providerFilter=no (gibt an, ob der Anbieterfilter aktiviert ist)
sessionname=“ (gibt einen Namen für die Ablaufverfolgungssitzung an, damit
gleichzeitig ausgeführte Ablaufverfolgungen erfasst werden können.

Sofern nicht anders angegeben, wird standardmäßig für Anbieterschlüsselwörter „all“ und für „level“ „255“ verwendet.

Beispiel:

netsh trace start scenario=InternetClient capture=yes

Startet die Ablaufverfolgung für das InternetClient-Szenario und
bhängige Anbieter, wobei die Paketerfassung nur für physische Netzwerkadapter aktiviert wird.
Die Ablaufverfolgung wird beendet, wenn der Befehl „netsh trace stop“ ausgegeben
oder das System neu gestartet wird.
Für die Ausgabedatei werden Standardspeicherort und -name verwendet. Ältere
Dateien werden überschrieben.

netsh trace start provider=microsoft-windows-wlan-autoconfig
keywords=state,ut:authentication

Startet die Ablaufverfolgung für den Anbieter „microsoft-windows-wlan-autoconfig“.
Die Ablaufverfolgung wird beendet, wenn der Befehl „netsh trace stop“ ausgegeben
oder das System neu gestartet wird.
Für die Ausgabedatei werden der Standardspeicherort und -name verwendet. Ältere
Dateien werden überschrieben.
Es werden nur Ereignisse mit dem Schlüsselwort „state“ oder „ut:authentication“ protokolliert.

Mit dem Befehl „netsh trace show provider“ können unterstützte
Schlüsselwörter und Ebenen angezeigt werden.

Erfassungsfilter:
Erfassungsfilter werden nur unterstützt, wenn die Erfassung explizit
mit „capture=yes“ aktiviert wird. Verwenden Sie „netsh trace show CaptureFilterHelp“,
um eine Liste unterstützter Erfassungsfilter und ihre Syntax anzuzeigen.

Anbieterfilter:
Anbieterfilter werden von mehreren Anbietern unterstützt und mit
„providerFilter=Yes“ nach jedem Anbieter aktiviert.
Verwenden Sie „netsh trace show ProviderFilterHelp“, um eine Liste tunterstützter Anbieterfilter für jeden Anbieter und ihre Syntax anzuzeigen.
PS C:\>