コマンドプロンプト/パケットをキャプチャする・netsh trace
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
]
開始行:
#navi(../)
* Windowsのnetshコマンドでパケットキャプチャする方法 [#i7...
Windowsの標準コマンドである、netshコマンドとtraceオプショ...
本資料は、netshコマンドを使ってパケットキャプチャする方法...
[[Wireshark>https://forest.watch.impress.co.jp/library/so...
&color(red){''注意''};~
&color(red){Microsoft Message Analyzerは''廃止''になって...
-[[Microsoft Message Analyzer Blog>https://docs.microsoft...
#htmlinsertpcsp(win-top.html,win-sp.html)
#contents
* 使用したOS [#kbee6647]
- Windows 10 64bit
* 関連サイト [#a8114528]
ダウンロードリンク
-[[Microsoft Message Analyzer>https://www.microsoft.com/e...
旧名 Microsoft Network Monitor
-[[Wireshark>https://forest.watch.impress.co.jp/library/s...
* 関連記事 [#ud6131af]
-[[Microsoft Message Analyzerのインストール>ネットワーク...
* netsh trace start コマンド [#r8f64208]
netsh traceコマンドを実行するため、コマンドプロンプトを&c...
以下のコマンドを実行すると、netsh trace startにつついての...
netsh trace start /?
C:\WINDOWS\system32>netsh trace start /?
start
トレースを開始します。
使用法: trace start [sessionname=<セッション名>]
[[scenario=]<シナリオ 1,シナリオ 2>]
[[globalKeywords=]keywords] [[globalLevel=]level]
[[capture=]yes|no] [[capturetype=]physical|vmswit...
[[report=]yes|no|disabled] [[persistent=]yes|no]
[[traceFile=]path\filename] [[maxSize=]filemaxsize]
[[fileMode=]single|circular|append] [[overwrite=]...
[[correlation=]yes|no|disabled] [capturefilters]
[[provider=]providerIdOrName] [[keywords=]keyword...
[[level=]level] [bufferSize=<バッファー サイズ>]
[[[provider=]provider2IdOrName] [[providerFilter=...
[[keywords=]keyword2MaskOrSet] [[perfMerge=]yes|no]
[[level=]level2] ...
既定値:
capture=no (トレース イベントに加え、パケット キ...
有効にするかどうかを指定します)
capturetype=physical (パケット キャプチャを有効に...
対象として、物理ネットワーク アダプターの...
または物理ネットワーク アダプターと仮想ス...
report=no (トレース ファイルと共に、補足レポートを
生成するかどうかを指定します)
persistent=no (再起動後に、netsh trace stop を発...
トレース セッションを続行するかどうかを指...
maxSize=250 MB (最大トレース ファイル サイズを指...
bufferSize=512 (トレース バッファー サイズを KB ...
fileMode=circular
overwrite=yes (既存のトレース出力ファイルを上書き...
指定します)
correlation=disabled (関連するイベントを相互に関...
するかどうかを指定します)
perfMerge=yes (パフォーマンス メタデータをトレー...
どうかを指定します)
traceFile=%LOCALAPPDATA%\Temp\NetTraces\[sessionn...
(出力ファイルの場所を指定します)
providerFilter=no (プロバイダー フィルターを有効...
sessionname='' (同時トレースを収集できるように、...
指定します)
プロバイダー キーワードの既定値は all で、レベルは 255 ...
例:
netsh trace start scenario=InternetClient capture=yes
パケット キャプチャを物理ネットワーク アダプター...
InternetClient シナリオと依存プロバイダー...
"netsh trace stop" コマンドが発行されるか、システ...
トレースは停止します。
出力ファイルには、既定の場所と名前が使用されます...
存在する場合、それらは上書きされます。
netsh trace start provider=microsoft-windows-wlan-autoco...
keywords=state,ut:authentication
microsoft-windows-wlan-autoconfig プロバイダーの...
"netsh trace stop" コマンドが発行されるか、システ...
トレースは停止します。
出力ファイルには、既定の場所と名前が使用されます...
存在する場合、それらは上書きされます。
キーワード 'state' または 'ut:authentication' が...
netsh trace show provider コマンドを使用すると、...
ワードとレベルを表示できます。
キャプチャ フィルター:
キャプチャ フィルターは、capture=yes を指定してキ...
有効になっているときにだけサポートされます。サポ...
フィルターとその使用法の一覧を表示するには、'nets...
プロバイダー フィルター:
プロバイダー フィルターは、複数のプロバイダーでサ...
するには、各プロバイダーの後に providerFilter=Yes...
各プロバイダーでサポートされるプロバイダー フィル...
一覧を表示するには、'netsh trace show ProviderFil...
* パケットをキャプチャしてみる [#tf349ca3]
netsh trace startコマンドのパケットキャプチャについていく...
コマンドプロンプトを&color(red){''管理者として実行''};し...
** パケットをキャプチャする [#k6d80c96]
以下の構文でパケットキャプチャが開始されます。~
netsh trace start capture=yes
デフォルト値の250MBまでキャプチャされます。~
以下、実際にコマンドを実行したときの出力です。
C:\>netsh trace start capture=yes
トレース構成:
--------------------------------------------------------...
ステータス: 実行中
トレース ファイル: C:\Users\sakura\AppData\Local\Temp...
追加: オフ
循環: オン
最大サイズ: 250 MB
レポート: オフ
上記の出力がされ、プロンプトが入力待ちに戻ります。~
尚、パケットキャプチャはバックグランドで実行されています。~
トレースファイルを確認すると、ファイルが作成されているの...
C:\>dir c:\users\sakura\AppData\Local\Temp\NetTraces\*
ドライブ C のボリューム ラベルは Windows です
ボリューム シリアル番号は ****-**** です
c:\users\sakura\AppData\Local\Temp\NetTraces のディレク...
2019/03/18 08:51 <DIR> .
2019/03/18 08:51 <DIR> ..
2019/03/18 08:51 <DIR> NetTrace
2019/03/18 08:51 524,288 NetTrace.etl
1 個のファイル 524,288 バイト
3 個のディレクトリ 30,412,132,352 バイト...
** キャプチャの中止 [#w40e27dc]
上記のキャプチャを中止したい場合は、以下のコマンドを実行...
netsh trace stop
本コマンドを実行するとしばらくプロンプトが返ってきません...
プロンプトが入力待ちになるまでお待ちください。~
以下、上記コマンドを実行したときの出力となります。
C:\>netsh trace stop
トレースの結合中... 完了
データ収集を生成しています ... 完了
トレース ファイルと追加のトラブルシューティング情報は、"...
ファイルの場所 = C:\Users\sakura\AppData\Local\Temp\NetT...
トレース セッションは正常に停止しました。
** 出力先を指定する [#m269f2df]
上記では出力先を指定せず、実行したところ、環境変数TEMPの...
出力先を指定するには、tracefile=を使用します。~
構文は以下のようになります。
netsh trace start capture=yes tracefile=ファイル名
実際に実行したときの出力です。
C:\>netsh trace start capture=yes tracefile=c:\sakura.etl
トレース構成:
--------------------------------------------------------...
ステータス: 実行中
トレース ファイル: C:\sakura.etl
追加: オフ
循環: オン
最大サイズ: 250 MB
レポート: オフ
パケットキャプチャ中は以下のようにsakura.etl, sakuraフォ...
#ref(01.png)
#br
netsh trace stopをすると、フォルダは削除されcabファイルが...
#ref(02.png)
#br
** プロトコルを指定する [#re0ef7ff]
TCPやUDPパケットを指定しキャプチャしたい場合は Protocol=U...
以下にコマンドを例を記します。
- TCPが対象
netsh trace start capture=yes Protocol=TCP tracefile=c:\...
- UDPが対象
netsh trace start capture=yes Protocol=UDP tracefile=c:\...
** イーサネットタイプを指定する [#p5206a3a]
イーサネットタイプを指定する場合は、以下のようになります。
netsh trace start capture=yes Ethernet.Type=IPv4 tracefi...
** トレースファイルの最大ファイルサイズを指定する [#e8d42...
上記の出力の通り、デフォルトのトレースファイルサイズは250...
maxSizeを指定することにより、サイズを変更することができま...
以下、トレースファイルサイズを1024にして実行したときの出...
C:\>netsh trace start capture=yes tracefile=c:\max.etl m...
トレース構成:
--------------------------------------------------------...
ステータス: 実行中
トレース ファイル: C:\max.etl
追加: オフ
循環: オン
最大サイズ: 1024 MB
レポート: オフ
* Microsoft Message Analyzerを使って閲覧する [#v6485bf8]
[[Microsoft Message Analyzer>https://www.microsoft.com/en...
microsoft Message Analyzerのインストール記事も公開してい...
-[[Microsoft Message Analyzerのインストール>ネットワーク...
採取したパケットをキャプチャファイルをMicrosoft Message A...
etlファイルを開くと採取したキャプチャを閲覧することができ...
#ref(b1.png)
#br
以上、Windows標準のnetshコマンドを使ってネットワークのパ...
#htmlinsertpcsp(win-btm.html,win-sp.html)
終了行:
#navi(../)
* Windowsのnetshコマンドでパケットキャプチャする方法 [#i7...
Windowsの標準コマンドである、netshコマンドとtraceオプショ...
本資料は、netshコマンドを使ってパケットキャプチャする方法...
[[Wireshark>https://forest.watch.impress.co.jp/library/so...
&color(red){''注意''};~
&color(red){Microsoft Message Analyzerは''廃止''になって...
-[[Microsoft Message Analyzer Blog>https://docs.microsoft...
#htmlinsertpcsp(win-top.html,win-sp.html)
#contents
* 使用したOS [#kbee6647]
- Windows 10 64bit
* 関連サイト [#a8114528]
ダウンロードリンク
-[[Microsoft Message Analyzer>https://www.microsoft.com/e...
旧名 Microsoft Network Monitor
-[[Wireshark>https://forest.watch.impress.co.jp/library/s...
* 関連記事 [#ud6131af]
-[[Microsoft Message Analyzerのインストール>ネットワーク...
* netsh trace start コマンド [#r8f64208]
netsh traceコマンドを実行するため、コマンドプロンプトを&c...
以下のコマンドを実行すると、netsh trace startにつついての...
netsh trace start /?
C:\WINDOWS\system32>netsh trace start /?
start
トレースを開始します。
使用法: trace start [sessionname=<セッション名>]
[[scenario=]<シナリオ 1,シナリオ 2>]
[[globalKeywords=]keywords] [[globalLevel=]level]
[[capture=]yes|no] [[capturetype=]physical|vmswit...
[[report=]yes|no|disabled] [[persistent=]yes|no]
[[traceFile=]path\filename] [[maxSize=]filemaxsize]
[[fileMode=]single|circular|append] [[overwrite=]...
[[correlation=]yes|no|disabled] [capturefilters]
[[provider=]providerIdOrName] [[keywords=]keyword...
[[level=]level] [bufferSize=<バッファー サイズ>]
[[[provider=]provider2IdOrName] [[providerFilter=...
[[keywords=]keyword2MaskOrSet] [[perfMerge=]yes|no]
[[level=]level2] ...
既定値:
capture=no (トレース イベントに加え、パケット キ...
有効にするかどうかを指定します)
capturetype=physical (パケット キャプチャを有効に...
対象として、物理ネットワーク アダプターの...
または物理ネットワーク アダプターと仮想ス...
report=no (トレース ファイルと共に、補足レポートを
生成するかどうかを指定します)
persistent=no (再起動後に、netsh trace stop を発...
トレース セッションを続行するかどうかを指...
maxSize=250 MB (最大トレース ファイル サイズを指...
bufferSize=512 (トレース バッファー サイズを KB ...
fileMode=circular
overwrite=yes (既存のトレース出力ファイルを上書き...
指定します)
correlation=disabled (関連するイベントを相互に関...
するかどうかを指定します)
perfMerge=yes (パフォーマンス メタデータをトレー...
どうかを指定します)
traceFile=%LOCALAPPDATA%\Temp\NetTraces\[sessionn...
(出力ファイルの場所を指定します)
providerFilter=no (プロバイダー フィルターを有効...
sessionname='' (同時トレースを収集できるように、...
指定します)
プロバイダー キーワードの既定値は all で、レベルは 255 ...
例:
netsh trace start scenario=InternetClient capture=yes
パケット キャプチャを物理ネットワーク アダプター...
InternetClient シナリオと依存プロバイダー...
"netsh trace stop" コマンドが発行されるか、システ...
トレースは停止します。
出力ファイルには、既定の場所と名前が使用されます...
存在する場合、それらは上書きされます。
netsh trace start provider=microsoft-windows-wlan-autoco...
keywords=state,ut:authentication
microsoft-windows-wlan-autoconfig プロバイダーの...
"netsh trace stop" コマンドが発行されるか、システ...
トレースは停止します。
出力ファイルには、既定の場所と名前が使用されます...
存在する場合、それらは上書きされます。
キーワード 'state' または 'ut:authentication' が...
netsh trace show provider コマンドを使用すると、...
ワードとレベルを表示できます。
キャプチャ フィルター:
キャプチャ フィルターは、capture=yes を指定してキ...
有効になっているときにだけサポートされます。サポ...
フィルターとその使用法の一覧を表示するには、'nets...
プロバイダー フィルター:
プロバイダー フィルターは、複数のプロバイダーでサ...
するには、各プロバイダーの後に providerFilter=Yes...
各プロバイダーでサポートされるプロバイダー フィル...
一覧を表示するには、'netsh trace show ProviderFil...
* パケットをキャプチャしてみる [#tf349ca3]
netsh trace startコマンドのパケットキャプチャについていく...
コマンドプロンプトを&color(red){''管理者として実行''};し...
** パケットをキャプチャする [#k6d80c96]
以下の構文でパケットキャプチャが開始されます。~
netsh trace start capture=yes
デフォルト値の250MBまでキャプチャされます。~
以下、実際にコマンドを実行したときの出力です。
C:\>netsh trace start capture=yes
トレース構成:
--------------------------------------------------------...
ステータス: 実行中
トレース ファイル: C:\Users\sakura\AppData\Local\Temp...
追加: オフ
循環: オン
最大サイズ: 250 MB
レポート: オフ
上記の出力がされ、プロンプトが入力待ちに戻ります。~
尚、パケットキャプチャはバックグランドで実行されています。~
トレースファイルを確認すると、ファイルが作成されているの...
C:\>dir c:\users\sakura\AppData\Local\Temp\NetTraces\*
ドライブ C のボリューム ラベルは Windows です
ボリューム シリアル番号は ****-**** です
c:\users\sakura\AppData\Local\Temp\NetTraces のディレク...
2019/03/18 08:51 <DIR> .
2019/03/18 08:51 <DIR> ..
2019/03/18 08:51 <DIR> NetTrace
2019/03/18 08:51 524,288 NetTrace.etl
1 個のファイル 524,288 バイト
3 個のディレクトリ 30,412,132,352 バイト...
** キャプチャの中止 [#w40e27dc]
上記のキャプチャを中止したい場合は、以下のコマンドを実行...
netsh trace stop
本コマンドを実行するとしばらくプロンプトが返ってきません...
プロンプトが入力待ちになるまでお待ちください。~
以下、上記コマンドを実行したときの出力となります。
C:\>netsh trace stop
トレースの結合中... 完了
データ収集を生成しています ... 完了
トレース ファイルと追加のトラブルシューティング情報は、"...
ファイルの場所 = C:\Users\sakura\AppData\Local\Temp\NetT...
トレース セッションは正常に停止しました。
** 出力先を指定する [#m269f2df]
上記では出力先を指定せず、実行したところ、環境変数TEMPの...
出力先を指定するには、tracefile=を使用します。~
構文は以下のようになります。
netsh trace start capture=yes tracefile=ファイル名
実際に実行したときの出力です。
C:\>netsh trace start capture=yes tracefile=c:\sakura.etl
トレース構成:
--------------------------------------------------------...
ステータス: 実行中
トレース ファイル: C:\sakura.etl
追加: オフ
循環: オン
最大サイズ: 250 MB
レポート: オフ
パケットキャプチャ中は以下のようにsakura.etl, sakuraフォ...
#ref(01.png)
#br
netsh trace stopをすると、フォルダは削除されcabファイルが...
#ref(02.png)
#br
** プロトコルを指定する [#re0ef7ff]
TCPやUDPパケットを指定しキャプチャしたい場合は Protocol=U...
以下にコマンドを例を記します。
- TCPが対象
netsh trace start capture=yes Protocol=TCP tracefile=c:\...
- UDPが対象
netsh trace start capture=yes Protocol=UDP tracefile=c:\...
** イーサネットタイプを指定する [#p5206a3a]
イーサネットタイプを指定する場合は、以下のようになります。
netsh trace start capture=yes Ethernet.Type=IPv4 tracefi...
** トレースファイルの最大ファイルサイズを指定する [#e8d42...
上記の出力の通り、デフォルトのトレースファイルサイズは250...
maxSizeを指定することにより、サイズを変更することができま...
以下、トレースファイルサイズを1024にして実行したときの出...
C:\>netsh trace start capture=yes tracefile=c:\max.etl m...
トレース構成:
--------------------------------------------------------...
ステータス: 実行中
トレース ファイル: C:\max.etl
追加: オフ
循環: オン
最大サイズ: 1024 MB
レポート: オフ
* Microsoft Message Analyzerを使って閲覧する [#v6485bf8]
[[Microsoft Message Analyzer>https://www.microsoft.com/en...
microsoft Message Analyzerのインストール記事も公開してい...
-[[Microsoft Message Analyzerのインストール>ネットワーク...
採取したパケットをキャプチャファイルをMicrosoft Message A...
etlファイルを開くと採取したキャプチャを閲覧することができ...
#ref(b1.png)
#br
以上、Windows標準のnetshコマンドを使ってネットワークのパ...
#htmlinsertpcsp(win-btm.html,win-sp.html)
ページ名: