pktmon start
S’applique à : Windows Server 2022, Windows Server 2019, Windows 10, Azure Stack HCI, Azure Stack Hub, Azure
Démarre la capture de paquets et la collecte d’événements.
Syntaxe
pktmon start [--capture [--counters-only] [--comp <selector>] [--type <type>] [--pkt-size <bytes>] [--flags <mask>]]
[--trace --provider <name> [--keywords <k>] [--level <n>] ...]
[--file-name <name>] [--file-size <size>] [--log-mode <mode>]
Paramètres de capture de paquets
Utilisez -c ou --capture pour activer la capture de paquets et les compteurs de paquets, ainsi que les paramètres facultatifs suivants.
| Paramètre | Description |
|---|---|
| -o, --counters-only | Collectez uniquement les compteurs de paquets. Aucune journalisation de paquets. |
| --comp | Sélectionnez les composants sur lesquels capturer les paquets. Il peut s’agir de tous les composants (all), des cartes réseau uniquement (nics) ou d’une liste des ID de composants. La valeur par défaut est sur all. |
| --type | Sélectionnez les paquets à capturer. Peut être sur all, flow ou drop. Toutes les sources d'événement sont sélectionnées par défaut. |
| --pkt-size <octets> | Nombre d’octets à journaliser à partir de chaque paquet. Pour toujours journaliser l’intégralité du paquet, définissez cette valeur sur 0. La valeur par défaut est 128 octets. |
| --flags <masque> | Masque de bits hexadécimal qui contrôle les informations journalisées durant la capture de paquets. La valeur par défaut est 0x012. Indicateurs de capture de paquets ci-dessous. |
Indicateurs de capture de paquets
Les indicateurs suivants s’appliquent au paramètre --flags (voir ci-dessus).
| Indicateur | Description |
|---|---|
| 0x001 | Erreurs internes du moniteur de paquets. |
| 0x002 | Informations sur les composants, les compteurs et les filtres. Ces informations sont ajoutées à la fin du fichier journal. |
| 0x004 | Informations de source et de destination pour le premier paquet du groupe NET_BUFFER_LIST. |
| 0x008 | Sélectionnez les métadonnées de paquets dans l’énumération NDIS_NET_BUFFER_LIST_INFO. |
| 0x010 | Paquet brut, tronqué à la taille spécifiée dans le paramètre [--pkt-size]. |
Paramètres de collecte d’événements
Utilisez -t ou --trace pour activer la collecte d’événements, ainsi que les paramètres facultatifs suivants.
| Paramètre | Description |
|---|---|
| -p, --provider <nom> | Nom ou GUID du fournisseur d’événement. Pour plusieurs fournisseurs, utilisez ce paramètre plusieurs fois. |
| -k, --keywords <k> | Masque de bits hexadécimal qui contrôle les événements enregistrés pour le fournisseur correspondant. La valeur par défaut est 0xFFFFFFFF. |
| -l, --level <n> | Niveau de journalisation pour le fournisseur correspondant. La valeur par défaut est 4 (niveau d’informations). |
Paramètres de journalisation
Utilisez les paramètres suivants pour la journalisation :
| Paramètre | Description |
|---|---|
| -f, --file-name <nom> | Nom du fichier journal. La valeur par défaut est PktMon.etl. |
| -s, --file-size <taille> | Taille maximale du fichier journal, en mégaoctets. La valeur par défaut est de 512 Mo. |
| -m, --log-mode | Définit le mode de journalisation (voir ci-dessous). La valeur par défaut est circulaire. |
Modes de journalisation
Les modes suivants s’appliquent au paramètre -m ou --log-mode (voir ci-dessus).
| Mode | Description |
|---|---|
| circular | Les nouveaux événements remplacent les plus anciens quand le journal se remplit. |
| multi-file | Un nouveau journal est créé à chaque fois que le journal se remplit. Les fichiers journaux sont numérotés séquentiellement : PktMon1.etl, PktMon2.etl, etc. Le nombre d’événements capturés n’est pas limité. |
| real-time | Affichez des événements et des paquets à l’écran en temps réel. Aucun fichier journal n’est créé. Pour arrêter la surveillance, appuyez sur Ctrl+C. |
| memory | Similaire à circular, mais l’intégralité du journal est stockée en mémoire. Il est écrit dans un fichier lorsque pktmon est arrêté. La taille de la mémoire tampon est spécifiée dans le paramètre [--file-size]. |
Exemples
Exemple 1 : capture de paquets
C:\Test> pktmon start --capture
Exemple 2 : compteurs de paquets uniquement
C:\Test> pktmon start --capture --counters-only
Exemple 3 : journalisation des événements
C:\Test> pktmon start --trace -p Microsoft-Windows-TCPIP -p Microsoft-Windows-NDIS
Exemple 4 :capture de paquets avec journalisation des événements
C:\Test> pktmon start --capture --trace -p Microsoft-Windows-TCPIP -k 0xFF -l 4