pktmon etl2pcap

• 適用対象:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Stack HCI, versions 23H2 and 22H2

pktmon ログ ファイルを pcapng 形式に変換します。 既定では、破棄されたパケットは含まれません。 これらのログは、Wireshark (または任意の pcapng アナライザー) を使用して分析できます。

構文

pktmon etl2pcap <file> [--out <name>] [--drop-only] [--component-id <id>]

<file> は、変換する ETL ファイルです。

パラメーター

パラメーター	説明
-o、--out <name>	書式設定された pcapng ファイルの名前。
-d、--drop-only	破棄されたパケットのみを変換します。
-c、--component-id <id>	特定のコンポーネント ID でパケットをフィルター処理します。

出力フィルター処理

pcapng 形式の出力では、パケット破棄のレポートおよびネットワーク スタックを介したパケット フローに関する情報はすべて失われます。 完全な変換を表示するには、ログの内容を慎重に事前にフィルター処理する必要があります。 次に例を示します。

• pcapng 形式では、フローしているパケットと破棄されたパケットは区別されません。 キャプチャ内のすべてのパケットをドロップされたパケットから分離するには、2 つの pcapng ファイルを生成します。1 つはすべてのパケット (pktmon etl2pcap log.etl --out log-capture.etl) を含み、もう 1 つはドロップされたパケット(pktmon etl2pcap log.etl --drop-only --out log-drop.etl) のみを含みます。 このようにすることによって、別のログで破棄されたパケットを分析できます。
• pcapng 形式では、パケットがキャプチャされたさまざまなネットワーク コンポーネントは区別されません。 このような多層シナリオでは、pcapng 出力 pktmon etl2pcap log.etl --component-id 5 で目的のコンポーネント ID を指定します。 関心のあるコンポーネント ID の各セットに対して、このコマンドを繰り返します。

関連リンク

• Pktmon
• Pktmon counters
• Pktmon etl2txt
• Pktmon filter
• Pktmon filter add
• Pktmon hex2pkt
• Pktmon list
• Pktmon reset
• Pktmon start
• Pktmon status
• Pktmon unload
• パケット モニターの概要