教你使用强大的Netsh Trace

2018-11-12  本文已影响0人  MrJeffy

Netsh

Netsh Trace

开始使用Netsh Trace

在该目录下会生成一个.cab文件和.etl文件。在.cab文件中包含了report.html、report.xml、report.xsl、report.etl等文件: 打开report.xml可以看到计算的基本信息:计算机基本信息、网络基本信息等。

在cab文件的config文件夹下,还可以看到以下文件:
adapterinfo.txt:所有已安装的网络驱动程序说明,​​硬件ID,GUID,版本和提供程序。
Dns.txt:IPCONFIG / DISPLAYDNS的输出内容,NETSH NAMESPACE SHOW EFFECTIVE和NETSH NAMESPACE SHOW POLICY。
envinfo.txt:有关无线和有线适配器和网络配置文件的详细信息。
FileSharing.txt:NBTSTAT –N, NBTSTAT –C, NET CONFIG RDR, NET CONFIG SRV, NET SHARE的输出结果汇总。
gpresult.txt:gpresult /v 的输出结果。
**LocaleMetaData **:包含WCM,Windows防火墙,无线/有线自动配置的MTA日志文件的文件夹。
Neighbors.txt:ARP -A,NETSH INT IPV6 SHOW NEIGHBORS的输出结果汇总。
netevents.xml:以XML格式的输出一些网络事件(即FWPM_NET_EVENT_TYPE_CLASSIFY_DROP)。
netiostate.txt:Teredo参数。
osinfo.txt:操作系统的版本以及基本架构的基础信息。
sysports.xml:与Teredo / IP Helper服务相关的系统端口。
WCMLog.evtx:Microsoft-Windows-Wcmsvc/Operational 日志 (Windows Connection Manager)。
WcnInfo.txt:wcnsvc,wlansvc,eaphost,fdrespub,upnphost,eaphost,WCN DLL的文件版本信息,网络适配器信息,当前配置文件的网络发现状态以及当前防火墙配置文件信息的服务状态。
wfpfilters.xml:WFP过滤器信息。
wfpstate.xml:WFP状态信息。
WindowsFirewallConfig.txt:Windows防火墙配置。
WindowsFirewallConsecLog.evtx:Windows firewall event log。
WindowsFirewallConsecLogVerbose.evtx:Windows firewall event log。
WindowsFirewallEffectiveRules.txt:Windows防火墙有效规则。
WindowsFirewallLog.evtx:Windows firewall event log。
WindowsFirewallLogVerbose.evtx:Windows firewall event log。
WinsockCatalog.txt:所有已安装的Winsock目录提供程序的详细信息。
WLANAutoConfigLog.evtx:Wired LAN Auto-Config event log。
WWANLog.evtx:Wireless LAN Auto-Config event log。

Netsh Trace深入了解

用法: trace start [[scenario=]<scenario1,scenario2>]
[[globalKeywords=]keywords] [[globalLevel=]level]
[[capture=]yes|no] [[report=]yes|no]
[[persistent=]yes|no] [[traceFile=]path\filename]
[[maxSize=]filemaxsize] [[fileMode=]single|circular|append]
[[overwrite=]yes|no] [[correlation=]yes|no|disabled] [capturefilters]
[[provider=]providerIdOrName] [[keywords=]keywordMaskOrSet]
[[level=]level] [[provider=]provider2IdOrName]
[[keywords=]keyword2MaskOrSet] [[level=]level2] ...
默认值:
capture=no (指定除了跟踪事件之外是否还启用数据包捕获)
report=no (指定是否在生成补充报告的同时还生成跟踪文件)
persistent=no (指定跟踪会话在重新启动之后是否继续,以及在发布 netsh 跟踪停止之前是否启用)
maxSize=250 MB (指定最大跟踪文件大小,0=无最大值)
fileMode=circular
overwrite=yes (指定是否将覆盖现有跟踪输出文件)
correlation=yes (指定是否将关联 相关事件以及是否将相关事件分到一个组中)
traceFile=%LOCALAPPDATA%\Temp\NetTraces\NetTrace.etl(指定输出文件的位置)

AddressAcquisition : 地址获取相关问题的疑难解答
DirectAccess : DirectAccess 相关问题的疑难解答
FileSharing : 对常见的文件和打印机共享问题进行疑难解答
InternetClient : 诊断 Web 连接问题
InternetServer : 对服务器端 Web 连接问题进行故障排除
L2SEC : 第 2 层身份验证相关问题的疑难解答
LAN : 有线 LAN 相关问题的疑难解答
Layer2 : 第 2 层连接相关问题的疑难解答
MBN : 移动宽带相关问题的疑难解答
NDIS : 网络适配器相关问题的疑难解答
NetConnection : 网络连接相关问题的疑难解答
P2P-Grouping : 对等分组问题疑难解答
P2P-PNRP : 对等名称解析协议(PNRP)相关问题的疑难解答
RemoteAssistance : 对与 Windows 远程协助相关的问题进行疑难解答
RPC : 与 RPC 框架相关问题的疑难解答
WCN : 解决“Windows 立即连接”相关的问题
WFP-IPsec : 对 Windows 筛选平台和 IPSec 相关问题进行疑难解答
WLAN : 无线 LAN 相关问题的疑难解答

关于使用Netsh Trace的一些建议

  1. 如果需要网络监控Outlook流量,需在监控期间禁用加密。
  2. 如果监控http / https流量请考虑使用Fiddler2。
  3. 安装Microsoft Network Monitor(http://www.microsoft.com/download/en/details.aspx?id=4865)时,请始终在http://nmparsers.codeplex.com/上安装最新的解析器。
  4. 如果使用Microsoft Network Monitor查看.ETL数据包捕获,你必须设置Windows解析器。这个在Microsoft Network Monitor的tools-options菜单中设置:
上一篇下一篇

猜你喜欢

热点阅读