Windows マシン上のすべてのインターフェースとの間のすべての IP トラフィックをキャプチャしたいと考えています。
- 送信トラフィックを生成したプロセス ID をキャプチャできる必要があります。
- コマンドラインからキャプチャをトリガーし、外部ツールでキャプチャ ファイルを自動的に解析できるようにする必要があります。
を使用しようとしていますがnetsh、これで目的を達成できそうです。ただし、必要な情報を抽出する方法がわかりません。
実行するnetsh trace start persistent=yes capture=yes tracefile=xxxとnetsh trace stop必要な情報が取得されるようです。生成された.etlファイルをWindows Message Analyzer (WMA)に読み込むと、IPトラフィックと多くその他のイベント情報
私の具体的な問題は次のとおりです:
netshIP トラフィックのみをキャプチャするように制限するにはどうすればよいですか?- WMA のようなツールを使わずに etl ファイルを解析するにはどうすればよいですか?
2 番目の質問に関して。私は etl ファイルを xml ファイルに変換できました (tracerptまたはを使用) netsh trace convert。ただし、データが不完全なようです。たとえば、トラフィックが送信されたことがわかっている IP アドレス (WMA で確認済み) は表示されません。おそらく、すべてが何らかのバイナリ BLOB に隠されているのでしょう。