pktmon etl2pcap
S’applique à : Windows Server 2022, Windows Server 2019, Windows 10, Azure Stack HCI, Azure Stack Hub, Azure
Convertissez le fichier journal pktmon au format pcapng. Les paquets supprimés ne sont pas inclus par défaut. Ces journaux peuvent être analysés à l’aide de Wireshark (ou de tout autre analyseur pcapng).
Syntaxe
pktmon etl2pcap <file> [--out <name>] [--drop-only] [--component-id <id>]
Où <file>
est le fichier ETL à convertir.
Paramètres
Paramètre | Description |
---|---|
-o, --out <name> | Nom du fichier pcapng mis en forme. |
-d, --drop-only | Convertir uniquement les paquets supprimés. |
-c, --component-id <id> | Filtrer les paquets en fonction d’un ID de composant spécifique. |
Filtrage de sortie
Toutes les informations sur les rapports de suppression de paquets et le flux de paquets dans la pile réseau sont perdues dans la sortie au format pcapng. Le contenu du journal doit être soigneusement préfiltré pour montrer la conversion complète. Par exemple :
- Le format Pcapng ne fait pas la distinction entre un paquet en cours d’écoulement et un paquet supprimé. Pour séparer tous les paquets de la capture des paquets supprimés, générez deux fichiers pcapng : un qui contient tous les paquets (
pktmon etl2pcap log.etl --out log-capture.etl
), et un autre qui contient uniquement les paquets supprimés (pktmon etl2pcap log.etl --drop-only --out log-drop.etl
). De cette façon, vous pouvez analyser les paquets supprimés dans un journal distinct. - Le format Pcapng ne fait pas la distinction entre les différents composants réseau dans lesquels un paquet a été capturé. Pour ces scénarios multicouches, spécifiez l’ID de composant souhaité dans la sortie pcapng
pktmon etl2pcap log.etl --component-id 5
. Répétez cette commande pour chaque ensemble d’ID de composant qui vous intéresse.