Verwenden von netsh zum Verwalten von Ablaufverfolgungen
In Windows netsh.exe können (über eine Eingabeaufforderung) verwendet werden, um Netzwerkablaufverfolgungen zu aktivieren und zu konfigurieren. In diesem Abschnitt werden einige der netsh.exe Befehle beschrieben, die bei der Behandlung von Ablaufverfolgungsproblemen helfen können, einschließlich der neuen netsh trace Funktionalität.
Hinweis
Sie müssen die netsh Befehle über eine erweiterte Eingabeaufforderung ausführen.
Erfassen von Ablaufverfolgungen
Szenarien sind vordefinierte Gruppen von Ablaufverfolgungsanbietern, die für die Problembehandlung aktiviert werden können. Um die Liste der verfügbaren netzwerkbezogenen Szenarien anzuzeigen, zeigen die netsh-Ablaufverfolgung Szenarien an (netsh-Ablaufverfolgungsanbietern listet alle verfügbaren Anbieter auf, auch solche, die für das Netzwerk nicht relevant sind.)
Wenn Sie ein Szenario identifiziert haben, das für Ihre Fragen relevant erscheint, können Sie eine Liste aller in diesem Szenario enthaltenen Anbieter sehen. Um z. B. alle im InternetClient-Szenario aktivierten Anbieter anzuzeigen, geben Sie netsh trace show scenario internetclient ein.
Sie können eine Ablaufverfolgung für alle Anbieter in einem bestimmten Szenario oder einer Reihe von Szenarien starten. Um beispielsweise eine Ablaufverfolgung für alle im Szenario InternetClient aktivierten Anbieter zu starten, geben Sie netsh trace show scenario=internetclient ein. Um Anbieter für mehrere Szenarien zu erfassen, können Sie alle geeigneten Szenarien angeben, z. B. netsh trace start scenario=FileSharing scenario=DirectAccess. Beachten Sie, dass jeweils nur eine Ablaufverfolgungssitzung aktiviert werden kann; Es ist nicht möglich, Ablaufverfolgungsinformationen aus verschiedenen Gruppen von Anbietern in separaten Dateien gleichzeitig zu erfassen.
Sie können auch eine Ablaufverfolgung für zusätzliche Anbieter starten, die in diesem bestimmten Szenario nicht enthalten sind. So können Sie beispielsweise Ablaufverfolgungen für alle im WLAN-Szenario aktivierten Anbieter und auch für den DHCP-Anbieter starten. Geben Sie dazu netsh trace start scenario=wlan provider=Microsoft-Windows-Dhcp-Client ein.
Sie können auch weitere Details zu einem bestimmten Anbieter anzeigen, indem Sie den netsh-Ablaufverfolgungsanbieter gefolgt vom Anbieternamen eingeben.
Um alle verfügbaren Optionen und Filter anzuzeigen, können Sie den Start der netsh-Ablaufverfolgung /? eingeben.
Um die Ablaufverfolgung zu beenden, geben Sie den netsh-Ablaufverfolgungsstopp ein.
Verwenden der Ausgabedateien
Wenn die Ablaufverfolgung beendet wird, werden standardmäßig zwei Dateien generiert: eine ETL-Datei (Event Trace Log) und eine .cab Datei.
Ablaufverfolgungsereignisse werden in der ETL-Datei gesammelt, die mithilfe von Tools wie Netzwerkmonitor angezeigt werden können. Die ETL-Datei heißt standardmäßig nettrace.etl, oder Sie können einen anderen Namen angeben, indem Sie tracefile=filename.etl beim Starten der Ablaufverfolgung angeben.
Die .cab Datei enthält umfassende Informationen über die Software und Hardware auf dem System, z. B. die Adapterinformationen, den Build, das Betriebssystem und die Drahtloseinstellungen. Die .cab Datei wird standardmäßig nettrace.cab benannt, es sei denn, ein anderer Name wurde wie oben angegeben.
Diese .cab Datei enthält zwei Dateien, die immer denselben Namen haben. Report.etl ist eine weitere Kopie derselben Informationen, die in nettrace.etl enthalten sind. Die report.html Datei enthält zusätzliche Informationen zu den Ablaufverfolgungsereignissen und den anderen gesammelten Informationen. Um die meisten verfügbaren Details zu erhalten, schließen Sie den Befehl report = yes ein, wenn eine Ablaufverfolgung gestartet wird.
Verwenden von Filtern zur Reduzierung der Datenmenge in der ETL-Ablaufverfolgungsdatei
Wenn Aufzeichnungen über einen langen Zeitraum erfolgen, kann die ETL-Ablaufverfolgungsdatei sehr groß werden. In Szenarien, in denen mehrere Anbieter aktiviert sind, was zu hohem Datenverkehr führt, können ETW-Puffereinschränkungen dazu führen, dass einige Ablaufverfolgungen verworfen werden. Abgesehen von dieser Überlegung kann das Verringern der Datenmenge in der ETL-Ablaufverfolgungsdatei dazu beitragen, die Problembehandlung zu vereinfachen, indem die Menge der zu überprüfenden Daten reduziert wird.
Netsh-Ablaufverfolgungsfilter können verwendet werden, um die ETL-Ablaufverfolgungsdatei zu verringern. Diese Ablaufverfolgungsfilter sind ETW-Ebenen und Schlüsselwörter, die auf einzelne Anbieter angewendet werden können.
Um eine Liste der Filter anzuzeigen, die angewendet werden können, geben Sie netsh trace start /? ein
Ein Beispiel für einen Filter ist netsh trace start InternetClient provider=Microsoft-Windows-TCPIP level=5 keywords=ut:ReceivePath,ut:SendPath.
In diesem Beispiel wird die Ebene auf 5 festgelegt, was bedeutet, dass die maximale Anzahl von Ereignissen angezeigt wird. In der folgenden Tabelle sind die verfügbaren Einstellungen aufgeführt:
| Ebene | Einstellung | BESCHREIBUNG |
|---|---|---|
| 1 | Kritisch | Es werden nur kritische Ereignisse angezeigt. |
| 2 | Fehler | Kritische Ereignisse und Fehler werden angezeigt. |
| 3 | Warnungen | Kritische Ereignisse, Fehler und Warnungen werden angezeigt. |
| 4 | Informational | Kritische Ereignisse, Fehler, Warnungen und Informationsereignisse werden angezeigt. |
| 5 | Ausführlich | Alle Ereignisse werden angezeigt. |
Die Schlüsselwörter ut:ReceivePath und ut:SentPath filtert die Ereignisse so, dass nur die Ereignisse angezeigt werden, die auf dem Empfangs- oder Sendepfad nachverfolgt werden. Eine vollständige Liste von Schlüsselwörtern für einen bestimmten Anbieter finden Sie, indem Sie den netsh-Ablaufverfolgungsanbieter eingeben, gefolgt vom Anbieternamen. Beispielsweise zeigt die Eingabe von netsh trace provider Microsoft-Windows-TCPIP Informationen zum Microsoft-Windows-TCPIP-Anbieter an, einschließlich einer Liste von Schlüsselwörtern.
Netsh unterstützt auch die Paketfilterfunktion (ähnlich dem Netzwerkmonitor), wenn die Paketerfassung aktiviert ist (durch Festlegen capture = yes). Die Paketfilterung kann verwendet werden, um eine begrenzte Anzahl von Paketen in einer Ablaufverfolgungsdatei zu erfassen. Beispiel: netsh trace start capture = yes ipv4.address = x.x.x.x, wobei x.x.x.x die IP-Adresse ist, erfasst nur Pakete mit ipv4-Datenverkehr mit dieser bestimmten Quell- oder Zieladresse.
Weitere Informationen zur Verwendung der Paketfilterung finden Sie unter netsh trace show capturefilterHelp.