netsh wfp

Der netsh wfp Befehl wird zum Verwalten und Beheben von Problemen mit der Windows-Filterplattform (WFP) verwendet. Es ermöglicht Ihnen, Filterregeln, Netzwerkereignisse und Diagnosen im Zusammenhang mit der Filterung des Netzwerkdatenverkehrs zu erfassen, anzuzeigen und zu analysieren. Dieses Tool ist nützlich für Administratoren, die Netzwerkrichtlinien untersuchen, Datenverkehr überwachen und Probleme mit der WFP-Konfiguration beheben müssen.

Syntax

netsh wfp [capture | dump | help | set | show | ?]

netsh wfp capture start cab=<on|off> traceonly=<on|off> keywords=<none|bcast|mcast|bcast+mcast> file=<path>
netsh wfp capture status
netsh wfp capture stop

netsh wfp dump

netsh wfp set options netevents=<on|off> keywords=<none|bcast|mcast|bcast+mcast> txnwatchdog=<milliseconds>

netsh wfp show appid file=<path>
               boottimepolicy file=<path|->
               filters file=<path|-> protocol=<ipprotocol> localaddr=<ipaddress> remoteaddr=<ipaddress> localport=<port>
                       appid=<path> userid=<user> dir=<in|out> verbose=<on|off>
               ikeevents file=<path|-> remoteaddr=<ipaddress>
               netevents file=<path|-> protocol=<ipprotocol> localaddr=<ipaddress> remoteaddr=<ipaddress> localport=<port>
                         remoteport=<port> appid=<path> userid=<user> timewindow=<seconds>
               options optionsfor=<netevents|keywords|txnwatchdog>
               security type=<callout|engine|filter|ikesadb|ipsecsadb|layer|netevents|provider|providercontext|sublayer>
                        guid=<guid>
               state file=<path|->
               sysports file=<path|->

Parameters

Command Description
netsh wfp capture start Startet eine Erfassungssitzung für Netzwerkereignisse, die von WFP verarbeitet werden.

cab - Gibt an, ob die Ausgabedateien in ein einzelnes .cab Archiv komprimiert werden sollen.
  • on (Standard): Fasst alle Dateien in einer .cab Datei zusammen.
  • off: Lässt Dateien unkomprimiert, nützlich für die manuelle Fehlerbehebung.

    • traceonly - Bestimmt, ob nur Ereignisablaufverfolgungsdaten erfasst werden.
  • on: Erfasst nur die Ereignisablaufverfolgung, was zu kleineren Ausgabedateien führt.
  • off (Standard): Erfasst alle relevanten Daten.

    • keywords - Legt die Netzwerkereignisschlüsselwörter für die Erfassungssitzung fest. Options include:
  • NONE: Schließt beide aus, um die Dateigröße für erweiterte Aufnahmen zu minimieren.
  • BCAST: Schließt Broadcast-Ereignisse ein.
  • MCAST: Enthält Multicast-Ereignisse.
  • BCAST+MCAST Umfasst sowohl Broadcast- als auch Multicast-Ereignisse (Standard).

    • file - Gibt den Namen der Ausgabedatei an. Der Standardwert lautet wfpdiag.cab. Wenn der cab Parameter auf onfestgelegt ist, sollte der Dateiname die Erweiterung nicht enthalten, da die .cab automatisch zur Ausgabedatei hinzugefügt wird.
    netsh wfp capture status Zeigt den Status der aktuellen Aufzeichnungssitzung an, gibt an, ob eine Sitzung aktiv ist, und gibt Details zum laufenden Erfassungsprozess an.
    netsh wfp capture stop Stoppt eine aktive Aufzeichnungssitzung, die mit dem capture start Befehl gestartet wurde. Verwenden Sie diesen Befehl, um die Datenerfassung zu beenden und die Ausgabedateien für die Analyse abzuschließen.
    netsh wfp dump Generiert ein Skript, das die aktuelle WFP-Konfiguration widerspiegelt. Sie können dieses Skript in einer Datei speichern und später verwenden, um geänderte Einstellungen wiederherzustellen.
    netsh wfp set options Konfiguriert globale Optionen für die Windows-Filterplattform. Pro Befehlsausführung kann nur ein Optionsparameter geändert werden.

    netevents - Aktiviert oder deaktiviert die Erfassung von Netzwerkereignissen.
  • on: Netzwerkereignisse werden erfasst.
  • off: Die Erfassung von Netzwerkereignissen ist deaktiviert.

    • keywords - Gibt an, welche Arten von Netzwerkereignissen erfasst werden sollen. Options include:
  • NONE: Es werden keine Broadcast- oder Multicast-Ereignisse erfasst (Standard).
  • BCAST: Erfasst nur Broadcast-Ereignisse.
  • MCAST: Erfasst nur Multicast-Ereignisse.
  • BCAST+MCAST: Erfasst sowohl Broadcast- als auch Multicast-Ereignisse.

    • txnwatchdog - Legt die Zeitüberschreitung (in Millisekunden) für Transaktions-Watchdog-Ereignisse fest. Geben Sie einen ganzzahligen Wert an, um die Zeitüberschreitung anzugeben. Wenn der Wert auf Null gesetzt oder nicht angegeben ist, wird für jede Transaktion ein Ereignis ausgelöst.
    netsh wfp show appid Zeigt den Gerätepfad der ausführbaren Datei im file=<path> Format an.
    netsh wfp show boottimepolicy Zeigt die Startzeitrichtlinie und die Filter mit file=<path> dem Namen der Ausgabedatei an. Standardmäßig wird die Ausgabe als btpol.xmlgespeichert. Wenn Sie diesen Parameter auf einen Bindestrich (file=-) setzen, wird die Ausgabe direkt in der Konsole angezeigt, anstatt in einer Datei gespeichert zu werden.
    netsh wfp show filters Zeigt Filter an, die den angegebenen Datenverkehrsparametern entsprechen.

  • file - Gibt den Namen der Ausgabedatei im file=<path> Format an. Der Standardwert lautet filters.xml. Wenn diese Option auf einen Bindestrich (file=-) festgelegt ist, wird die Ausgabe in der Konsole angezeigt, anstatt in einer Datei gespeichert zu werden.
  • protocol - Die IP-Protokollnummer, die z. B. für TCP oder 6 UDP verwendet wird17. Weitere Informationen finden Sie unter IANA-Protokollnummern.
  • localaddr / remoteaddr - Gibt die lokale bzw. Remote-IP-Adresse an. Beide müssen entweder IPv4 oder IPv6 sein, und wenn beide angegeben sind, müssen sie derselben Adressfamilie angehören.
  • Lokaler Port / remoteport - Gibt die lokalen bzw. Remote-Portnummern an.
  • appid – Der Anwendungspfad auf dem lokalen Host, der Datenverkehr sendet oder empfängt. Akzeptiert entweder einen NT-Pfad (\device\harddiskvolume1\windows\system32\ftp.exe) oder einen DOS-Pfad (C:\Windows\System32\ftp.exe). Der angegebene Pfad muss vorhanden sein.
  • userid - Der Benutzer, der dem Datenverkehr auf dem lokalen Host zugeordnet ist. Dabei kann es sich um eine Sicherheits-ID (Security Identifier, SID) S-1-5-18 oder einen Benutzernamen wie NT AUTHORITY\SYSTEM.
  • dir - Die Richtung der Verbindung. Standardmäßig werden sowohl eingehende als auch ausgehende Filter angezeigt. Verwenden Sie diese Option IN , um nur eingehende Filter anzuzeigen oder OUT für ausgehende Filter.
  • ausführlich - Steuert die Detailgenauigkeit in der Ausgabe. Legen Sie diese Option fest ON , um alle übereinstimmenden Filter anzuzeigen, oder OFF (Standard), um Filter zu unterdrücken, die sich wahrscheinlich nicht auf die Konnektivität auswirken.
    • netsh wfp show ikeevents Zeigt die letzten IKE-Epochenereignisse (Internet Key Exchange) an, die den angegebenen Parametern entsprechen.

  • file : Gibt den Namen der Ausgabedatei für die Ergebnisse im Format file=<path>an. Der Standardwert lautet netevents.xml. Wenn Sie diesen Parameter auf einen Bindestrich (file=-) setzen, wird die Ausgabe direkt in der Konsole angezeigt, anstatt in einer Datei gespeichert zu werden.
  • remoteaddr - Die Remote-IP-Adresse, nach der Ereignisse gefiltert werden sollen. Akzeptiert entweder eine IPv4- oder eine IPv6-Adresse.
    • netsh wfp show netevents Zeigt die letzten Netzwerkereignisse an, die den angegebenen Datenverkehrsparametern entsprechen.

  • file - Gibt den Namen der Ausgabedatei im file=<path> Format an. Der Standardwert lautet filters.xml. Wenn diese Option auf einen Bindestrich (file=-) festgelegt ist, wird die Ausgabe in der Konsole angezeigt, anstatt in einer Datei gespeichert zu werden.
  • protocol - Die IP-Protokollnummer, die z. B. für TCP oder 6 UDP verwendet wird17.
  • localaddr / remoteaddr - Gibt die lokale bzw. Remote-IP-Adresse an. Beide müssen entweder IPv4 oder IPv6 sein, und wenn beide angegeben sind, müssen sie derselben Adressfamilie angehören.
  • Lokaler Port / remoteport - Gibt die lokalen bzw. Remote-Portnummern an.
  • appid – Der Anwendungspfad auf dem lokalen Host, der Datenverkehr sendet oder empfängt. Akzeptiert entweder einen NT-Pfad (\device\harddiskvolume1\windows\system32\ftp.exe) oder einen DOS-Pfad (C:\Windows\System32\ftp.exe). Der angegebene Pfad muss vorhanden sein.
  • userid - Der Benutzer, der dem Datenverkehr auf dem lokalen Host zugeordnet ist. Dabei kann es sich um eine Sicherheits-ID (Security Identifier, SID) S-1-5-18 oder einen Benutzernamen wie NT AUTHORITY\SYSTEM.
  • timewindow - Begrenzt die angezeigten Netzwerkereignisse auf einen bestimmten Zeitrahmen in Sekunden.
    • netsh wfp show options Gibt an, welche globale WFP-Option im optionsfor= Format angezeigt werden soll. Options are:

  • NETEVENTS: Zeigt an, ob die Netzwerkereignisdiagnose aktiviert oder deaktiviert ist.
  • KEYWORDS: Zeigt die Typen von Netzwerkereignissen (z. B. Broadcast oder Multicast) an, die für die Diagnose erfasst werden.
  • TXNWATCHDOG: Zeigt den aktuellen Timeout-Wert (in Millisekunden) für das Transaktions-Watchdog-Ereignis an.
    • netsh wfp show security Zeigt die angegebene Sicherheitsbeschreibung an.

    type - Gibt den WFP-Objekttyp an, dessen Sicherheitsbeschreibung Sie im type= Format anzeigen möchten. Options include:
  • CALLOUT
  • ENGINE
  • FILTER
  • IKESADB
  • IPSECSADB
  • LAYER
  • NETEVENTS
  • PROVIDER
  • PROVIDERCONTEXT
  • SUBLAYER

    guid – Für Objekttypen, die einzelne Sicherheitsbeschreibungen unterstützen, gibt dieser Parameter die GUID des Objekts im guid=<guid> Format an. Wenn nicht angegeben, wird der Befehl verwendet IID_NULL , um die Sicherheitsbeschreibung für den gesamten Typcontainer abzurufen. Die folgenden Objekttypen unterstützen Sicherheitsbeschreibungen pro Objekt:
  • callout
  • filter
  • layer
  • provider
  • providercontext
  • sublayer
    		•
    netsh wfp show state Zeigt den aktuellen Status von WFP und IPsec an.

    file - Gibt den Namen der Ausgabedatei im file= Format an. Standardmäßig wird die Ausgabe als wfpstate.xmlgespeichert. Wenn Sie diesen Parameter auf einen Bindestrich (file=-) setzen, wird die Ausgabe direkt in der Konsole angezeigt, anstatt in einer Datei gespeichert zu werden.
    netsh wfp show sysports Zeigt die Systemports an, die vom TCP/IP-Stack und dem RPC-Subsystem verwendet werden.

    file - Gibt den Namen der Ausgabedatei im file= Format an. Standardmäßig wird die Ausgabe als sysports.xmlgespeichert. Wenn Sie diesen Parameter auf einen Bindestrich (file=-) setzen, wird die Ausgabe direkt in der Konsole angezeigt, anstatt in einer Datei gespeichert zu werden.
    help oder? Zeigt eine Liste der Befehle und deren Beschreibungen im aktuellen Kontext an.

    Examples

    Führen Sie den folgenden Befehl aus, um eine Aufzeichnungssitzung für Netzwerkereignisse zu starten und die Ausgabedateien in ein einzelnes .cab Archiv zu komprimieren:

    netsh wfp capture start cab=on

    Führen Sie den folgenden Befehl aus, um eine Aufzeichnungssitzung zu starten, die nur Ereignisablaufverfolgungsdaten sammelt und sowohl Broadcast- als auch Multicastereignisse enthält:

    netsh wfp capture start traceonly=on keywords=BCAST+MCAST

    Führen Sie den folgenden Befehl aus, um die Erfassung von Netzwerkereignissen zu aktivieren und nur Broadcastereignisse zu erfassen:

    netsh wfp set options netevents=on keywords=BCAST

    Führen Sie den folgenden Befehl aus, um das Timeout für den Transaktionsmonitordog auf 5.000 Millisekunden festzulegen:

    netsh wfp set options txnwatchdog=5000

    Um den Anwendungspfad für eine angegebene Datei anzuzeigen, führen Sie den folgenden Befehl aus:

    netsh wfp show appid file="C:\folder\app.exe"

    Führen Sie den folgenden Befehl aus, um anzuzeigen, ob die Netzwerkereignisdiagnose aktiviert oder deaktiviert ist:

    netsh wfp show options optionsfor=NETEVENTS

    Führen Sie den folgenden Befehl aus, um die Sicherheitsbeschreibung für einen bestimmten WFP-Objekttyp anzuzeigen, z. B. einen Filter mit einer bekannten GUID:

    netsh wfp show security type=FILTER guid=YourGUID

    See also

    • Last updated on