Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit diesem netsh trace Befehl können Sie den detaillierten Netzwerkverkehr erfassen und Ereignisse verfolgen, wodurch wertvolle Daten für die Diagnose und Fehlerbehebung von Netzwerkproblemen auf Windows-Systemen bereitgestellt werden. Es unterstützt eine Reihe von Optionen zum Filtern, Exportieren und Analysieren von Ablaufverfolgungsdaten.
Syntax
netsh trace [convert | correlate | diagnose | dump | export | help | merge | postreset | show | start | ?]
netsh trace convert [input=]tracefilename.etl [output=]filename [dump=]CSV|XML|EVTX|TXT|No [report=]yes|no
[overwrite=]yes|no [metadata=]yes|no [tmfpath=]pathname [manpath=]pathname
netsh trace correlate [input=]tracefilename.etl [output=]newtracefilename.etl [filter=]Activity_ID
[overwrite=]yes|no [retaincorrelationevents=]yes|no [retainpii=]yes|no
[retainglobalevents=]yes|no
netsh trace diagnose [scenario=]<scenarioname> [namedAttribute=]<attributeValue>
[saveSessionTrace=]<yes|no> [report=]<yes|no> [capture=]<yes|no>
netsh trace dump
netsh trace export [scenario=]<scenarioname> [file=]<filename>
netsh trace merge
netsh trace postreset
netsh trace show <capturefilterhelp>
<globalkeywordsandlevels>
<helperclass> [name=]<helperclassname>
<interfaces>
<provider> [name=]<providerIdOrName>
<providerfilerhelp>
<providers>
<scenario> [name=]<scenarioname>
<scenarios>
<status>
netsh trace start [sessionname]=<sessionname> [scenario=]<scenario1,scenario2> [globalKeywords=]keywords
[globalLevel=]level [[capture=]yes|no] [capturetype=]physical|vmswitch|both
[report=]yes|no|disabled [persistent=]yes|no [traceFile=]path\filename
[maxSize=]filemaxsize [fileMode=]single|circular|append [overwrite=]yes|no
[correlation=]yes|no|disabled [capturefilters] [provider=]providerIdOrName
[keywords=]keywordMaskOrSet [level=]level [bufferSize=]<bufferSize>
[provider=]provider2IdOrName [providerFilter=]yes|no [keywords=]keyword2MaskOrSet
[perfMerge=]yes|no [level=]level2 ...
Parameters
Note
Bestimmte Befehle und Parameter funktionieren möglicherweise nur in früheren Versionen von Windows und Windows Server, die nicht mehr unterstützt werden, vollständig.
| Command | Description |
|---|---|
Spur convert |
Konvertiert eine Ablaufverfolgungsdatei in einen HTML-Bericht. input: Gibt die ETL-Eingabedatei (Event Trace Log) an. output: Legt den Namen der Ausgabedatei fest. Wenn nicht angegeben, wird standardmäßig der Name der Eingabedatei verwendet. dump: Wählt das Ausgabeformat aus: TXT (Standard), CSV, XML, EVTXoder No (kein Dump). report: Generiert einen HTML-Bericht, wenn diese Option auf yesgesetzt ist. Der Standardwert ist no. overwrite: Überschreibt vorhandene Dateien, wenn diese Option auf yesgesetzt ist. Der Standardwert ist no. metadata: Schließt Metadaten-Traces in die Ausgabe ein, wenn diese Option auf yesfestgelegt ist. Der Standardwert ist no. tmfpath: Gibt den Pfad zu den TMF-Dateien (Trace Message Format) zum Decodieren der WPP-Ablaufverfolgungen (Windows Software Trace Preprocessor) an. manpath: Gibt den Pfad zu den Manifestdateien zum Decodieren von ETW-Ablaufverfolgungen (Event Traces for Windows) an. |
Spur correlate |
Normalisiert oder filtert eine Ablaufverfolgungsdatei, wodurch eine neue Ausgabedatei erstellt wird. Sie können nach Aktivitäts-ID (einer GUID im Format {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}) filtern, um nur verwandte Ereignisse einzuschließen. Der Befehl kann auch Korrelationsereignisse, persönliche Daten (z. B. Paketerfassungsereignisse) und globale Ereignisse speichern. input: Gibt die ETL-Eingabeablaufverfolgungsdatei an. output: Legt den Namen und den Pfad der Ausgabedatei fest. filter: Gibt nur Ereignisse aus, die sich auf die angegebene Aktivitäts-GUID beziehen. Der Standardwert ist keine. overwrite: Überschreibt vorhandene Dateien, wenn diese Option auf yesgesetzt ist. Der Standardwert ist no. retaincorrelationevents: Behält Korrelationsereignisse bei, wenn diese Einstellung auf yesgesetzt ist. Der Standardwert ist no. retainpii: Behält Ereignisse mit personenbezogenen Daten bei, wenn diese Option auf yes (Standard) gesetzt ist. retainglobalevents: Behält globale Ereignisse bei, wenn diese Option auf (Standard) gesetzt ist yes . |
Spur diagnose |
Startet eine Diagnosesitzung. scenario: Gibt den Namen eines Diagnoseszenarios an (z. B InternetClient. ). namedAttribute: Geben Sie die zusätzlichen Details oder Optionen für das Szenario an, das vom ausgewählten Szenario abhängt. saveSessionTrace: Wenn diese Einstellung auf gesetzt ist yes, werden die Trace-Daten aus der Sitzung für eine spätere Analyse gespeichert. Wenn no, wird die Ablaufverfolgung nicht gespeichert. Diese Option ist standardmäßig auf yes wenn report=yes. report: Wenn diese Option auf festgelegt ist yes, wird nach dem Ausführen des Szenarios ein Diagnosebericht generiert. Wenn no (Standard), wird kein Bericht erstellt. capture: Wenn diese Option auf festgelegt ist yes, wird der Netzwerkverkehr während der Diagnose erfasst. Wenn no (Standard), wird der Datenverkehr nicht erfasst. |
Spur dump |
Erstellt ein Skript, das die aktuelle Kontextkonfiguration enthält. Das Skript kann in einer Datei gespeichert und zum Wiederherstellen von Einstellungen verwendet werden, wenn sie geändert werden oder auf einem anderen System repliziert werden müssen. |
Spur export |
Exportiert ein Szenario in ein WPR-Profil (Windows Performance Recorder). scenario: Gibt den Namen des zu exportierenden Ablaufverfolgungsszenarios an. file: Legt den Namen und den Pfad der Ausgabedatei für das exportierte WPR-Profil fest. |
Spur merge |
Führt mehrere Trace-Dateien in einer Datei zusammen und reichert die Ausgabe mit Symbol- und PerfTrack-Metadaten an, um die Analyse zu verbessern. |
Spur postreset |
Stellt die Einstellungen für die globale Ablaufverfolgung nach einem Zurücksetzen des Netzwerkstapels auf die Standardeinstellungen wieder her. |
Spur show |
Zeigt Informationen für die folgenden Parameter an: capturefilterhelp: Listet alle unterstützten Erfassungsfilter auf und enthält Anwendungsbeispiele. globalkeywordsandlevels: Zeigt die verfügbaren globalen Schlüsselwörter und Ablaufverfolgungsebenen für die Konfiguration an. helperclass: Enthält Informationen zu Hilfsklassen, die bei der Ablaufverfolgung verwendet werden. interfaces: Listet alle Netzwerkschnittstellen auf, die für die Ablaufverfolgung verfügbar sind. provider: Zeigt detaillierte Informationen zu einem bestimmten Ablaufverfolgungsanbieter an. providerfilterhelp: Listet die unterstützten Anbieterfilter auf und erläutert deren Verwendung. providers: Zeigt alle Trace-Provider an, die auf dem System verfügbar sind. scenario: Zeigt Details zu einem bestimmten Ablaufverfolgungsszenario an. scenarios: Listet alle verfügbaren Ablaufverfolgungsszenarien auf. status: Zeigt die aktuelle Ablaufverfolgungskonfiguration und den Sitzungsstatus an. |
Spur start |
Startet eine Trace-Sitzung. sessionname: Gibt den Namen der Ablaufverfolgungssitzung an. scenario: Gibt ein vordefiniertes Szenario an (LAN, InternetClientusw.) globalKeywords: Filtert Ereignisse für alle Anbieter mithilfe von ETW-Schlüsselwörtern. globalLevel: Legt die Ausführlichkeit für globale Ereignisse fest: - 1 (Kritisch): Nur kritische Ereignisse. - 2 (Fehler): Kritische Ereignisse und Fehlerereignisse. - 3 (Warnung): Kritische, Fehler- und Warnereignisse. - 4 (Informativ): Fügt Informationsereignisse hinzu. - 5 (Ausführlich): Erfasst alle Ereignisse, einschließlich detaillierter Debuginformationen. capture: Gibt an, ob Netzwerkpakete erfasst werden sollen (yes oder no). capturetype: Gibt den Paketerfassungstyp (physical, vmswitchoder both) an. report: Generieren eines HTML-Berichts nach der Ablaufverfolgung (yes, nooder disabled). persistent: Hält die Sitzung nach einem Neustartyes des Systems ( oder no) am Laufen. traceFile: Vollständiger Pfad und Dateiname für die Ablaufverfolgungsausgabe. maxSize: Maximale Größe der Trace-Datei in Megabyte. fileMode: Gibt die Methode des Dateischreibmodus an: - single: Alle Daten werden bis zur angegebenen Dateigröße in Megabyte in eine Datei geschrieben. - circular: Überschreibt die ältesten Daten, wenn die Datei die maximale Größe erreicht (fungiert als Ringpuffer). - append: Fügt neue Trace-Daten am Ende einer vorhandenen Datei hinzu. overwrite: Überschreibt eine vorhandene Trace-Datei (yes oder no). correlation: Aktiviert die Korrelation für Ereignisse (yes, nooder disabled). capturefilters: Filtert nach erfassten Paketen (IP, TCP-Port usw.). provider: Gibt den ETW-Anbieter anhand der GUID oder des Namens an. keywords: Anbieterspezifische Keyword-Filterung. level: Anbieterspezifische Ausführlichkeit. bufferSize: Größe des Trace-Puffers in Megabyte. providerFilter: Aktiviert die anbieterspezifische Filterung (yes oder no). perfMerge: Führt Leistungsdaten zusammen (yes oder no). Einige Parameter sind szenariospezifisch und können ignoriert werden, wenn sie nicht relevant sind. Standardwerte werden verwendet, wenn sie weggelassen werden. Mit capture=yes können große Dateien schnell generiert werden.
fileMode=circular Überschreibt alte Daten, wenn die maximale Größe erreicht ist. |
help
oder? |
Zeigt eine Liste der Befehle und deren Beschreibungen im aktuellen Kontext an. |
Examples
Führen Sie den folgenden Befehl aus, um eine ETL-Protokolldatei in XML zu konvertieren:
netsh trace convert input="C:\Logs\mytrace.etl" output="C:\Logs\mytrace.xml"
Führen Sie den folgenden Befehl aus, um die Daten zwischen mehreren ETL-Dateien in einer einzigen korrelierten Datei zu analysieren und zu korrelieren:
netsh trace correlate input="C:\Logs\trace1.etl,C:\Logs\trace2.etl" output="C:\Logs\correlated_trace.etl"
Um eine ETL in eine Textdatei (.txt) zu exportieren, führen Sie den folgenden Befehl aus:
netsh trace export input="C:\Logs\mytrace.etl" output="C:\Logs\mytrace.txt"
Führen Sie den folgenden Befehl aus, um mehrere ETL-Dateien in einer einzelnen Ablaufverfolgungsdatei zusammenzuführen:
netsh trace merge input="C:\Logs\trace1.etl,C:\Logs\trace2.etl" output="C:\Logs\merged_trace.etl"
Führen Sie den folgenden Befehl aus, um alle Netzwerkschnittstellen aufzulisten, die für die Ablaufverfolgung verfügbar sind:
netsh trace show interfaces
Führen Sie den folgenden Befehl aus, um eine neue Ablaufverfolgungssitzung zu starten und das Protokoll in einem bestimmten Dateipfad zu speichern:**
netsh trace start capture=yes tracefile="C:\Logs\networktrace.etl"