我希望捕獲 Windows 電腦上往返所有介面的所有 IP 流量。
- 我必須能夠捕獲生成傳出流量的進程 ID。
- 我需要能夠從命令列觸發捕獲並在外部工具中自動解析捕獲文件。
我正在嘗試使用netsh,它似乎能夠完成這項工作。然而,我在弄清楚如何提取我需要的資訊時遇到了問題。
netsh trace start persistent=yes capture=yes tracefile=xxx然後運行netsh trace stop似乎捕獲了我需要的資訊。如果我將生成的 .etl 檔案載入到 Windows 訊息分析器 (WMA) 中,那麼我可以看到 IP 流量以及很多其他活動資訊
我的具體問題是:
- 如何限制
netsh只捕捉 IP 流量? - 如果沒有像 WMA 這樣的工具,如何解析 etl 檔案?
關於第二個問題。我已經設法將 etl 文件轉換為 xml 文件(使用tracerpt或 )netsh trace convert。中。