이 명령은 netsh wfp WFP(Windows 필터링 플랫폼)를 관리하고 문제를 해결하는 데 사용됩니다. 이를 통해 네트워크 트래픽 필터링과 관련된 필터링 규칙, 네트워크 이벤트 및 진단을 캡처, 표시 및 분석할 수 있습니다. 이 도구는 네트워크 정책을 조사하고, 트래픽을 모니터링하고, WFP 구성 문제를 해결해야 하는 관리자에게 유용합니다.
Syntax
netsh wfp [capture | dump | help | set | show | ?]
netsh wfp capture start cab=<on|off> traceonly=<on|off> keywords=<none|bcast|mcast|bcast+mcast> file=<path>
netsh wfp capture status
netsh wfp capture stop
netsh wfp dump
netsh wfp set options netevents=<on|off> keywords=<none|bcast|mcast|bcast+mcast> txnwatchdog=<milliseconds>
netsh wfp show appid file=<path>
boottimepolicy file=<path|->
filters file=<path|-> protocol=<ipprotocol> localaddr=<ipaddress> remoteaddr=<ipaddress> localport=<port>
appid=<path> userid=<user> dir=<in|out> verbose=<on|off>
ikeevents file=<path|-> remoteaddr=<ipaddress>
netevents file=<path|-> protocol=<ipprotocol> localaddr=<ipaddress> remoteaddr=<ipaddress> localport=<port>
remoteport=<port> appid=<path> userid=<user> timewindow=<seconds>
options optionsfor=<netevents|keywords|txnwatchdog>
security type=<callout|engine|filter|ikesadb|ipsecsadb|layer|netevents|provider|providercontext|sublayer>
guid=<guid>
state file=<path|->
sysports file=<path|->
Parameters
| Command | Description |
|---|---|
넷쉬 wfp capture start |
WFP에서 처리한 네트워크 이벤트에 대한 캡처 세션을 시작합니다. cab - 출력 파일을 단일 .cab 아카이브로 압축할지 여부를 지정합니다. on (기본값): 모든 파일을 하나의 .cab 파일로 결합합니다. off: 파일을 압축하지 않은 상태로 두어 수동 문제 해결에 유용합니다. traceonly - 이벤트 추적 데이터만 수집할지 여부를 결정합니다. on: 이벤트 추적만 캡처하여 출력 파일이 더 작아집니다. off (기본값): 모든 관련 데이터를 캡처합니다. keywords - 캡처 세션에 대한 네트워크 이벤트 키워드를 설정합니다. Options include: NONE: 확장 캡처의 파일 크기를 최소화하기 위해 둘 다 제외합니다. BCAST: 브로드캐스트 이벤트를 포함합니다. MCAST: 멀티캐스트 이벤트를 포함합니다. BCAST+MCAST 브로드캐스트 및 멀티캐스트 이벤트를 모두 포함합니다(기본값). file - 출력 파일 이름을 지정합니다. 기본값은 wfpdiag.cab입니다. 매개 변수가 cab 로 설정된 on경우 출력 파일에 자동으로 .cab 추가되므로 파일 이름에 확장자가 포함되어서는 안 됩니다. |
넷쉬 wfp capture status |
현재 캡처 세션의 상태를 표시하여 세션이 활성 상태인지 여부를 나타내고 진행 중인 캡처 프로세스에 대한 세부 정보를 제공합니다. |
넷쉬 wfp capture stop |
명령으로 capture start 시작된 활성 캡처 세션을 중지합니다. 이 명령을 사용하여 데이터 수집을 종료하고 분석을 위해 출력 파일을 완료합니다. |
넷쉬 wfp dump |
현재 WFP 구성을 반영하는 스크립트를 생성합니다. 이 스크립트를 파일에 저장하고 나중에 수정된 설정을 복원하는 데 사용할 수 있습니다. |
넷쉬 wfp set options |
Windows 필터링 플랫폼에 대한 전역 옵션을 구성합니다. 명령 실행당 하나의 옵션 매개변수만 수정할 수 있습니다. netevents - 네트워크 이벤트 수집을 사용하거나 사용하지 않도록 설정합니다. on: 네트워크 이벤트가 캡처됩니다. off: 네트워크 이벤트 수집이 비활성화되었습니다. keywords - 캡처할 네트워크 이벤트 유형을 지정합니다. Options include: NONE: 브로드캐스트 또는 멀티캐스트 이벤트가 캡처되지 않습니다(기본값). BCAST: 브로드캐스트 이벤트만 캡처합니다. MCAST: 멀티캐스트 이벤트만 캡처합니다. BCAST+MCAST: 브로드캐스트 및 멀티캐스트 이벤트를 모두 캡처합니다. txnwatchdog - 트랜잭션 워치독 이벤트의 시간 제한(밀리초)을 설정합니다. 제한시간을 지정하기 위해 정수 값을 제공합니다. 0으로 설정하거나 지정하지 않으면 모든 트랜잭션에 대해 이벤트가 트리거됩니다. |
넷쉬 wfp show appid |
형식을 사용하여 file=<path> 실행 파일의 장치 경로를 표시합니다. |
넷쉬 wfp show boottimepolicy |
출력 파일 이름으로 사용하는 file=<path> 부팅 시간 정책 및 필터를 표시합니다. 기본적으로 출력은 btpol.xml. 이 매개변수를 대시(file=-)로 설정하면 출력이 파일에 저장되지 않고 콘솔에 직접 표시됩니다. |
넷쉬 wfp show filters |
지정된 트래픽 매개 변수와 일치하는 필터를 표시합니다. file=<path> 기본값은 filters.xml입니다. 대시(file=-)로 설정하면 출력이 파일에 저장되는 대신 콘솔에 표시됩니다. 6 UDP에 사용되는 17 IP 프로토콜 번호입니다. 자세한 내용은 IANA 프로토콜 번호를 참조하세요. \device\harddiskvolume1\windows\system32\ftp.exe) 또는 DOS 경로(C:\Windows\System32\ftp.exe)를 허용합니다. 지정된 경로가 있어야 합니다. S-1-5-18 사용자 이름 NT AUTHORITY\SYSTEM일 수 있습니다. IN 아웃바운드 필터에 사용하는 데 사용합니다OUT. ON 설정하거나 OFF (기본값) 연결에 영향을 줄 가능성이 없는 필터를 표시하지 않습니다. |
넷쉬 wfp show ikeevents |
지정된 매개 변수와 일치하는 최근 IKE(Internet Key Exchange) 에포크 이벤트를 표시합니다. file=<path>의 출력 파일 이름을 형식 . 기본값은 netevents.xml입니다. 이 매개변수를 대시(file=-)로 설정하면 출력이 파일에 저장되지 않고 콘솔에 직접 표시됩니다. |
넷쉬 wfp show netevents |
지정된 트래픽 매개 변수와 일치하는 최근 네트워크 이벤트를 표시합니다. file=<path> 기본값은 filters.xml입니다. 대시(file=-)로 설정하면 출력이 파일에 저장되는 대신 콘솔에 표시됩니다. 6 UDP에 사용되는 17 IP 프로토콜 번호입니다. \device\harddiskvolume1\windows\system32\ftp.exe) 또는 DOS 경로(C:\Windows\System32\ftp.exe)를 허용합니다. 지정된 경로가 있어야 합니다. S-1-5-18 사용자 이름 NT AUTHORITY\SYSTEM일 수 있습니다. |
넷쉬 wfp show options |
형식으로 표시 optionsfor= 할 전역 WFP 옵션을 지정합니다. Options are: NETEVENTS: 네트워크 이벤트 진단을 사용하도록 설정할지 또는 사용하지 않도록 설정했는지 여부를 표시합니다. KEYWORDS: 진단을 위해 캡처되는 네트워크 이벤트의 유형(예: 브로드캐스트 또는 멀티캐스트)을 표시합니다. TXNWATCHDOG: 트랜잭션 감시 이벤트에 대한 현재 시간 초과 값(밀리초)을 표시합니다. |
넷쉬 wfp show security |
지정된 보안 설명자를 표시합니다. type - 보안 설명자를 형식으로 표시 type= 할 WFP 개체 형식을 지정합니다. Options include: CALLOUT ENGINE FILTER IKESADB IPSECSADB LAYER NETEVENTS PROVIDER PROVIDERCONTEXT SUBLAYER guid - 개별 보안 설명자를 지원하는 개체 형식의 경우 이 매개 변수는 개체의 GUID guid=<guid> 를 형식으로 지정합니다. 생략하면 명령은 전체 형식 컨테이너에 대한 보안 설명자를 검색하는 데 사용됩니다 IID_NULL . 다음 개체 형식은 개체별 보안 설명자를 지원합니다. callout filter layer provider providercontext sublayer |
넷쉬 wfp show state |
WFP 및 IPsec의 현재 상태를 표시합니다. file - 출력 파일 이름을 file= 형식으로 지정합니다. 기본적으로 출력은 wfpstate.xml. 이 매개변수를 대시(file=-)로 설정하면 출력이 파일에 저장되지 않고 콘솔에 직접 표시됩니다. |
넷쉬 wfp show sysports |
TCP/IP 스택 및 RPC 하위 시스템에서 사용하는 시스템 포트를 표시합니다. file - 출력 파일 이름을 file= 형식으로 지정합니다. 기본적으로 출력은 sysports.xml. 이 매개변수를 대시(file=-)로 설정하면 출력이 파일에 저장되지 않고 콘솔에 직접 표시됩니다. |
help
또는? |
현재 컨텍스트에서 명령 및 해당 설명의 목록을 표시합니다. |
Examples
네트워크 이벤트에 대한 캡처 세션을 시작하고 출력 파일을 단일 .cab 아카이브로 압축하려면 다음 명령을 실행합니다.
netsh wfp capture start cab=on
이벤트 추적 데이터만 수집하고 브로드캐스트 및 멀티캐스트 이벤트를 모두 포함하는 캡처 세션을 시작하려면 다음 명령을 실행합니다.
netsh wfp capture start traceonly=on keywords=BCAST+MCAST
네트워크 이벤트 수집을 활성화하고 브로드캐스트 이벤트만 캡처하려면 다음 명령을 실행합니다.
netsh wfp set options netevents=on keywords=BCAST
트랜잭션 감시 시간 제한을 5,000밀리초로 설정하려면 다음 명령을 실행합니다.
netsh wfp set options txnwatchdog=5000
지정된 파일의 응용 프로그램 경로를 표시하려면 다음 명령을 실행합니다.
netsh wfp show appid file="C:\folder\app.exe"
네트워크 이벤트 진단을 사용하도록 설정할지 또는 사용하지 않도록 설정했는지 표시하려면 다음 명령을 실행합니다.
netsh wfp show options optionsfor=NETEVENTS
특정 WFP 개체 형식(예: 알려진 GUID가 있는 필터)에 대한 보안 설명자를 표시하려면 다음 명령을 실행합니다.
netsh wfp show security type=FILTER guid=YourGUID