pktmon etl2pcap
Si applica a: Windows Server 2022, Windows Server 2019, Windows 10, Azure Stack HCI, Azure Stack Hub, Azure
Convertire il file di log pktmon in formato pcapng. I pacchetti eliminati non sono inclusi per impostazione predefinita. Questi log possono essere analizzati usando Wireshark (o qualsiasi analizzatore pcapng).
Sintassi
pktmon etl2pcap <file> [--out <name>] [--drop-only] [--component-id <id>]
Dove <file>
è il file ETL da convertire.
Parametri
Parametro | Descrizione |
---|---|
-o, --out <name> | Nome del file pcapng formattato. |
-d, --drop-only | Convertire solo pacchetti eliminati. |
-c, --component-id <> | Filtrare i pacchetti in base a un ID componente specifico. |
Filtro di output
Tutte le informazioni sull'eliminazione dei pacchetti e sul flusso di pacchetti attraverso lo stack di rete vengono perse nell'output in formato pcapng. Il contenuto del log deve essere accuratamente prefiltrato per visualizzare la conversione completa. Ad esempio:
- Il formato Pcapng non distingue tra un pacchetto di flusso e un pacchetto eliminato. Per separare tutti i pacchetti nell'acquisizione dai pacchetti eliminati, generare due file pcapng; che contiene tutti i pacchetti (
pktmon etl2pcap log.etl --out log-capture.etl
) e un altro che contiene solo pacchetti eliminati (pktmon etl2pcap log.etl --drop-only --out log-drop.etl
). In questo modo, è possibile analizzare i pacchetti eliminati in un log separato. - Il formato Pcapng non distingue tra componenti di rete diversi in cui è stato acquisito un pacchetto. Per questi scenari multilivello, specificare l'ID componente desiderato nell'output pcapng
pktmon etl2pcap log.etl --component-id 5
. Ripetere questo comando per ogni set di ID componente a cui si è interessati.