pktmon etl2pcap
適用於:Windows Server 2022、Windows Server 2019、Windows 10、Azure Stack HCI、Azure Stack Hub、Azure
將 pktmon 記錄檔轉換為 pcapng 格式。 預設不會包含已捨棄的封包。 您可以使用 Wireshark (或任何 pcapng 分析器) 來分析這些記錄。
語法
pktmon etl2pcap <file> [--out <name>] [--drop-only] [--component-id <id>]
其中 <file> 是要轉換的 ETL 檔案。
參數
| 參數 | 說明 |
|---|---|
| -o, --out <name> | 格式化 pcapng 檔案的名稱。 |
| -d, --drop-only | 僅轉換已捨棄的封包。 |
| -c, --component-id <id> | 依特定元件識別碼篩選封包。 |
輸出篩選
關於封包捨棄報告和透過網路堆疊的封包流程遺失,所有資訊都會以 pcapng 格式輸出。 應仔細預先篩選記錄內容以顯示完整的轉換。 例如:
- Pcapng 格式無法區分流動封包和已丟棄的封包。 若要將擷取內容中的所有封包與已丟棄的封包分開,請產生兩個 pcapng 檔案:一個包含所有封包 (「
pktmon etl2pcap log.etl --out log-capture.etl」),另一個只包含已丟棄封包 (pktmon etl2pcap log.etl --drop-only --out log-drop.etl)。 如此一來,您就可以在個別的記錄檔中分析已捨棄的封包。 - Pcapng 格式不會區分擷取封包的不同網路元件。 針對這類多層式案例,請在 pcapng 輸出
pktmon etl2pcap log.etl --component-id 5中指定所需的元件識別碼。 針對您感興趣的每個元件識別碼集重複此命令。