Estou procurando capturar todo o tráfego IP em uma máquina Windows de/para todas as interfaces.
- Devo ser capaz de capturar o ID do processo que gerou o tráfego de saída.
- Preciso ser capaz de acionar a captura na linha de comando e analisar automaticamente o arquivo de captura em uma ferramenta externa.
Estou tentando usar o netsh, que parece ser capaz de fazer o trabalho. No entanto, estou tendo problemas para descobrir como extrair as informações necessárias.
A execução netsh trace start persistent=yes capture=yes tracefile=xxxparece netsh trace stopcapturar as informações de que preciso. Se eu carregar o arquivo .etl gerado no Windows Message Analyzer (WMA), poderei ver o tráfego IP junto com ummuitode outras informações do evento
Meus problemas específicos são:
- Como posso restringir
netsha captura apenas do tráfego IP? - Como analiso um arquivo etl sem uma ferramenta como o WMA?
Em relação à segunda pergunta. Consegui converter o arquivo etl em um arquivo xml (usando tracerptou netsh trace convert. Porém, os dados parecem estar incompletos. Não consigo ver, por exemplo, um endereço IP para o qual sei que o tráfego foi enviado (confirmado em WMA). Possivelmente está tudo escondido em algum blob binário.