Estoy buscando capturar todo el tráfico IP en una máquina con Windows hacia/desde todas las interfaces.
- Debo poder capturar el ID del proceso que generó el tráfico saliente.
- Necesito poder activar la captura desde la línea de comando y analizar automáticamente el archivo de captura en una herramienta externa.
Estoy intentando utilizar netsh, que parece poder hacer el trabajo. Sin embargo, tengo problemas para descubrir cómo extraer la información que necesito.
netsh trace start persistent=yes capture=yes tracefile=xxxEntonces, correr netsh trace stopparece capturar la información que necesito. Si cargo el archivo .etl generado en el Analizador de mensajes de Windows (WMA), puedo ver el tráfico IP junto con unlotede otra información del evento
Mis problemas específicos son:
- ¿Cómo puedo restringirme
netshpara capturar únicamente el tráfico IP? - ¿Cómo analizo un archivo etl sin una herramienta como WMA?
Respecto a la segunda pregunta. Logré convertir el archivo etl en un archivo xml (usando tracerpto netsh trace convert. Sin embargo, los datos parecen estar incompletos. No puedo ver, por ejemplo, una dirección IP a la que sé que se envió el tráfico (confirmada en WMA). Posiblemente esté todo oculto en alguna mancha binaria.