pktmon etl2pcap
Se aplica a: Windows Server 2022, Windows Server 2019, Windows 10, Azure Stack HCI, Azure Stack Hub, Azure Stack Hub, Azure
Convertir el archivo de registro pktmon al formato pcapng. Los paquetes perdidos no se incluyen de forma predeterminada. Estos registros se pueden analizar mediante Wireshark (o cualquier analizador de pcapng).
Sintaxis
pktmon etl2pcap <file> [--out <name>] [--drop-only] [--component-id <id>]
Donde <file> es el archivo ETL que se va a convertir.
Parámetros
| Parámetro | Descripción |
|---|---|
| -o, --out <name> | Nombre del archivo pcapng con formato. |
| -d, --drop-only | Convertir solo los paquetes perdidos. |
| -c, --component-id <id> | Filtra los paquetes por un id. de componente específico. |
Filtrado del resultado
Toda la información sobre los informes de colocación de paquetes y el flujo de paquetes a través de la pila de conexión de red se perderá en la salida en formato pcapng. El contenido del registro debe estar cuidadosamente filtrado previamente para mostrar la conversión completa. Por ejemplo:
- El formato pcapng no distingue entre un paquete en flujo y un paquete descartado. Para separar todos los paquetes en la captura de los paquetes descartados, genere dos archivos pcapng; uno que contenga todos los paquetes (
pktmon etl2pcap log.etl --out log-capture.etl) y otro que contenga solo los paquetes descartados (pktmon etl2pcap log.etl --drop-only --out log-drop.etl). De este modo, puede analizar los paquetes descartados en un registro independiente. - El formato pcapng no distingue entre distintos componentes de conexión de red en los que se capturó un paquete. Para estos escenarios multicapa, especifique el id. de componente deseado en la salida de pcapng
pktmon etl2pcap log.etl --component-id 5. Repita este comando para cada conjunto de id. de componentes que le interesen.