通过

netsh wfp

netsh wfp 命令用于管理和排查 Windows 筛选平台 (WFP) 。 它使您能够捕获、显示和分析与网络流量过滤相关的过滤规则、网络事件和诊断。 此工具对于需要调查网络策略、监控流量和解决 WFP 配置问题的管理员非常有用。

Syntax

netsh wfp [capture | dump | help | set | show | ?]

netsh wfp capture start cab=<on|off> traceonly=<on|off> keywords=<none|bcast|mcast|bcast+mcast> file=<path>
netsh wfp capture status
netsh wfp capture stop

netsh wfp dump

netsh wfp set options netevents=<on|off> keywords=<none|bcast|mcast|bcast+mcast> txnwatchdog=<milliseconds>

netsh wfp show appid file=<path>
               boottimepolicy file=<path|->
               filters file=<path|-> protocol=<ipprotocol> localaddr=<ipaddress> remoteaddr=<ipaddress> localport=<port>
                       appid=<path> userid=<user> dir=<in|out> verbose=<on|off>
               ikeevents file=<path|-> remoteaddr=<ipaddress>
               netevents file=<path|-> protocol=<ipprotocol> localaddr=<ipaddress> remoteaddr=<ipaddress> localport=<port>
                         remoteport=<port> appid=<path> userid=<user> timewindow=<seconds>
               options optionsfor=<netevents|keywords|txnwatchdog>
               security type=<callout|engine|filter|ikesadb|ipsecsadb|layer|netevents|provider|providercontext|sublayer>
                        guid=<guid>
               state file=<path|->
               sysports file=<path|->

Parameters

Command Description
wfp capture start 启动 WFP 处理的网络事件的捕获会话。

cab - 指定是否将输出文件压缩到单个 .cab 存档中。
  • on (默认):将所有文件合并为一个 .cab 文件。
  • off:使文件保持未压缩状态,对于手动故障排除很有用。

    • traceonly - 确定是否仅收集事件跟踪数据。
  • on:仅捕获事件跟踪,从而产生较小的输出文件。
  • off (默认):捕获所有相关数据。

    • keywords - 设置捕获会话的渠道事件关键字。 Options include:
  • NONE:排除两者以最小化扩展捕获的文件大小。
  • BCAST:包括广播事件。
  • MCAST:包括多播事件。
  • BCAST+MCAST 包括广播和多播事件(默认)。

    • file - 指定输出文件名。 默认值为 wfpdiag.cab。 如果参数 cab 设置为 on,则文件名不应包含扩展名,因为 会自动 .cab 添加到输出文件中。
    wfp capture status 显示当前捕获会话的状态,指示会话是否处于活动状态,并提供有关正在进行的捕获过程的详细信息。
    wfp capture stop 停止使用该 capture start 命令启动的活动捕获会话。 使用此命令结束数据收集并最终确定输出文件以进行分析。
    wfp dump 生成反映当前 WFP 配置的脚本。 您可以将此脚本保存到文件中,稍后使用它来恢复任何修改的设置。
    wfp set options 配置 Windows 筛选平台的全局选项。 每次命令执行只能修改一个选项参数。

    netevents - 启用或禁用网络事件的收集。
  • on:捕获网络事件。
  • off:网络事件收集已禁用。

    • keywords - 指定要捕获的网络事件类型。 Options include:
  • NONE:不捕获广播或多播事件(默认)。
  • BCAST:仅捕获广播事件。
  • MCAST:仅捕获多播事件。
  • BCAST+MCAST:捕获广播和多播事件。

    • txnwatchdog - 设置事务看门狗事件的超时(以毫秒为单位)。 提供整数值以指定超时。 如果设置为零或未指定,则为每个事务触发一个事件。
    wfp show appid 使用格式显示 file=<path> 可执行文件的设备路径。
    wfp show boottimepolicy 显示用作输出文件名的 file=<path> 启动时策略和过滤器。 默认情况下,输出另存为 btpol.xml。 如果将此参数设置为破折号 (file=-),则输出将直接显示在控制台中,而不是保存到文件中。
    wfp show filters 显示与指定流量参数匹配的过滤器。

  • 文件 - 以格式 file=<path> 指定输出文件名。 默认值为 filters.xml。 如果设置为短划线 (file=-),则输出将显示在控制台中,而不是保存到文件中。
  • protocol - IP 协议号,例如,用于 6 TCP 或 17 UDP。 要了解更多信息,请参阅 IANA 协议编号
  • 本地地址 / remoteaddr - 分别指定本地或远程 IP 地址。 两者都必须是 IPv4 或 IPv6,如果两者都指定,则它们必须属于同一地址系列。
  • 本地端口 / remoteport - 分别指定本地或远程端口号。
  • appid - 本地主机上正在发送或接收流量的应用程序路径。 接受 NT 路径 (\device\harddiskvolume1\windows\system32\ftp.exe) 或 DOS 路径 (C:\Windows\System32\ftp.exe)。 指定的路径必须存在。
  • userid - 与本地主机上的流量关联的用户。 可以是安全标识符 (SID) (例如 S-1-5-18 )或用户名(例如 NT AUTHORITY\SYSTEM)。
  • dir - 连接的方向。 默认情况下,将同时显示入站和出站筛选器。 用于 IN 仅显示入站筛选器或 OUT 出站筛选器。
  • verbose - 控制输出中的详细级别。 设置为 以显示所有匹配的过滤器,或ON(默认)以OFF禁止不太可能影响连接的过滤器。
    • wfp show ikeevents 显示与指定参数匹配的最近 Internet 密钥交换 (IKE) 纪元事件。

  • file - 指定格式 file=<path>为 的结果的输出文件名。 默认值为 netevents.xml。 如果将此参数设置为破折号 (file=-),则输出将直接显示在控制台中,而不是保存到文件中。
  • remoteaddr - 要过滤事件的远程 IP 地址。 接受 IPv4 或 IPv6 地址。
    • wfp show netevents 显示与指定流量参数匹配的最近网络事件。

  • 文件 - 以格式 file=<path> 指定输出文件名。 默认值为 filters.xml。 如果设置为短划线 (file=-),则输出将显示在控制台中,而不是保存到文件中。
  • protocol - IP 协议号,例如,用于 6 TCP 或 17 UDP。
  • 本地地址 / remoteaddr - 分别指定本地或远程 IP 地址。 两者都必须是 IPv4 或 IPv6,如果两者都指定,则它们必须属于同一地址系列。
  • 本地端口 / remoteport - 分别指定本地或远程端口号。
  • appid - 本地主机上正在发送或接收流量的应用程序路径。 接受 NT 路径 (\device\harddiskvolume1\windows\system32\ftp.exe) 或 DOS 路径 (C:\Windows\System32\ftp.exe)。 指定的路径必须存在。
  • userid - 与本地主机上的流量关联的用户。 可以是安全标识符 (SID) (例如 S-1-5-18 )或用户名(例如 NT AUTHORITY\SYSTEM)。
  • 时间窗口 - 将显示的网络事件限制在指定的时间范围(以秒为单位)。
    • wfp show options 指定要以格式显示 optionsfor= 的全局 WFP 选项。 Options are:

  • NETEVENTS:显示是启用还是禁用网络事件诊断。
  • KEYWORDS:显示正在捕获以进行诊断的网络事件(例如广播或多播)的类型。
  • TXNWATCHDOG:显示事务监视程序事件的当前超时值(以毫秒为单位)。
    • wfp show security 显示指定的安全描述符。

    type - 指定要以格式显示 type= 其安全描述符的 WFP 对象类型。 Options include:
  • CALLOUT
  • ENGINE
  • FILTER
  • IKESADB
  • IPSECSADB
  • LAYER
  • NETEVENTS
  • PROVIDER
  • PROVIDERCONTEXT
  • SUBLAYER

    guid - 对于支持单个安全描述符的对象类型,此参数以格式指定 guid=<guid> 对象的 GUID。 如果省略,则该命令用于 IID_NULL 检索整个类型容器的安全描述符。 以下对象类型支持每个对象的安全描述符:
  • callout
  • filter
  • layer
  • provider
  • providercontext
  • sublayer
    		•
    wfp show state 显示 WFP 和 IPsec 的当前状态。

    file - 指定 file= 输出文件名的格式。 默认情况下,输出另存为 wfpstate.xml。 如果将此参数设置为破折号 (file=-),则输出将直接显示在控制台中,而不是保存到文件中。
    wfp show sysports 显示 TCP/IP 堆栈和 RPC 子系统使用的系统端口。

    file - 指定 file= 输出文件名的格式。 默认情况下,输出另存为 sysports.xml。 如果将此参数设置为破折号 (file=-),则输出将直接显示在控制台中,而不是保存到文件中。
    help? 在当前上下文中显示命令及其说明的列表。

    Examples

    要启动网络事件的捕获会话并将输出文件压缩到单个 .cab 存档中,请运行以下命令:

    netsh wfp capture start cab=on

    要启动仅收集事件跟踪数据并同时包含广播和多播事件的捕获会话,请运行以下命令:

    netsh wfp capture start traceonly=on keywords=BCAST+MCAST

    要启用网络事件的收集并仅捕获广播事件,请运行以下命令:

    netsh wfp set options netevents=on keywords=BCAST

    要将事务看门狗超时设置为 5,000 毫秒,请运行以下命令:

    netsh wfp set options txnwatchdog=5000

    要显示指定文件的应用程序路径,请运行以下命令:

    netsh wfp show appid file="C:\folder\app.exe"

    若要显示是启用还是禁用网络事件诊断,请运行以下命令:

    netsh wfp show options optionsfor=NETEVENTS

    若要显示特定 WFP 对象类型的安全描述符(例如,具有已知 GUID 的筛选器),请运行以下命令:

    netsh wfp show security type=FILTER guid=YourGUID

    See also

    • Last updated on