Tutoriel complet sur la commande netsh trace sous Windows

Si vous travaillez sous Windows et que vous rencontrez des problèmes de réseau, la commande trace netsh C'est un outil qu'il est toujours utile d'avoir sous la main. Il permet de capturer le trafic, d'enregistrer les événements système internes et de générer des rapports complets sans installation supplémentaire ; idéal pour les environnements d'entreprise ou les systèmes sécurisés où l'utilisation de Wireshark ou d'outils similaires est impossible.

Tout au long de ce tutoriel, nous verrons en détail comment cela fonctionne. trace netsh sous WindowsCet article explique le rôle de chaque sous-commande, comment utiliser les scénarios prédéfinis, quels paramètres sont essentiels au quotidien, comment réduire la taille des fichiers de trace grâce aux filtres et comment exploiter les fichiers ETL et CAB générés. L'objectif est qu'à la fin de cet article, vous sachiez non seulement quoi saisir dans la console, mais aussi pourquoi certaines options sont utilisées et à quoi vous attendre.

Qu'est-ce que netsh trace exactement et à quoi sert-il ?

La commande trace netsh Cela fait partie de l'utilitaire en ligne de commandes netsh.exe, présent dans Windows depuis de nombreuses années. Dans netsh, le contexte trace Elle repose sur l'infrastructure de Suivi d'événements pour Windows (ETW) Pour enregistrer des événements système très détaillés et, en option, capturer des paquets réseau. Ceci vous offre une vision très approfondie de ce qui se passe au niveau de la pile réseau et des autres composants associés.

Avec cette commande, vous pouvez démarrer et arrêter les sessions de suiviConvertissez les fichiers ETL générés vers d'autres formats (TXT, CSV, XML, EVTX, etc.), corrélez plusieurs traces, exportez des scénarios vers des profils Windows Performance Recorder, et bien plus encore. Ce logiciel réalise toutes ces opérations sans installer d'agents ni d'outils supplémentaires, ce qui en fait une ressource essentielle pour le support, l'analyse forensique et le dépannage des serveurs de production.

Dans des systèmes tels que Windows 7 et Windows Serveur 2008 R2 et dans les versions ultérieures, cela signifie qu'il n'est plus obligatoire de configurer des outils comme Wireshark ou Network Monitor pour effectuer une capture correcte : vous pouvez utiliser netsh trace à partir d'une console disposant de privilèges d'administrateur, et obtenir à la fois le trafic réseau et un contexte général de l'état du système pendant l'incident.

Syntaxe générale de la commande netsh trace

Sous-commandes : netsh trace

Le contexte de trace netsh expose une série de sous-commandes, toutes accessibles avec une syntaxe de base très simple. En général, son fonctionnement est le suivant : netsh trace <subcomando> Voici les sous-commandes les plus importantes qu'il propose :

Changer en: netsh trace convert tracefilename.etl filename CSV|XML|EVTX|TXT|No yes|no yes|no yes|no pathname pathname

Corrélation: netsh trace correlate tracefilename.etl newtracefilename.etl Activity_ID yes|no yes|no yes|no yes|no

Diagnostic: netsh trace diagnose <scenarioname> <attributeValue> <yes|no> <yes|no> <yes|no>

Décharge: netsh trace dump

Exporter: netsh trace export <scenarioname> <filename>

Combiner: netsh trace merge

Restaurer: netsh trace postreset

Voir: netsh trace show <capturefilterhelp> <globalkeywordsandlevels> <helperclass> <helperclassname> <interfaces> <provider> <providerIdOrName> <providerfilerhelp> <providers> <scenario> <scenarioname> <scenarios> <status>

Accueil: netsh trace start =<sessionname> <scenario1,scenario2> keywords level yes|no] physical|vmswitch|both yes|no|disabled yes|no path\filename filemaxsize single|circular|append yes|no yes|no|disabled providerIdOrName keywordMaskOrSet level <bufferSize> provider2IdOrName yes|no keyword2MaskOrSet yes|no level2 ...

Dans cet esprit, Nous allons détailler le rôle de chaque commande. Et quels paramètres sont vraiment importants pour vous au quotidien, sans perdre de vue les détails techniques qui font parfois la différence lorsque le problème est grave ?

La sous-commande `convert` transforme les fichiers ETL en d'autres formats.

La commande netsh trace convert Il permet de transformer un fichier de trace ETL en d'autres formats plus faciles à interroger ou à analyser par scripts. De plus, il peut générer un rapport HTML complet et ajouter des métadonnées supplémentaires si nécessaire pour un débogage avancé.

Nous avons déjà vu la syntaxe de base, mais il est utile de revoir la signification de chaque paramètre important. convertir et comment cela affecte le résultat final de la conversion.

contribution: indique le fichier ETL d'entrée que vous souhaitez traiter. Il s'agit du fichier de trace précédemment généré par une session de netsh trace startSans ce paramètre, il n'y a rien à convertir.

sortie: définit le Nom et chemin du fichier de sortieSi vous ne spécifiez rien, la commande utilise le même nom que le fichier d'entrée, avec l'extension correspondant au type de vidage que vous avez choisi.

déverser: spécifie le format de vidage que vous souhaitez générer : vous pouvez choisir parmi CSV, XML, EVTX, TXT o NoSi vous conservez la valeur par défaut, la commande génère un fichier texte standard, très utile pour une vérification rapide ou pour le chargement dans des outils simples.

rapport: détermine si un Rapport HTML en partant de la trace. Si vous le mettez à yesVous obtiendrez un fichier HTML contenant des graphiques et des informations supplémentaires qui faciliteront grandement les tâches de diagnostic.

écraser: vérifier s'ils peuvent écraser les fichiers existantsSi vous le réparez sur yesLa commande remplacera le fichier de sortie s'il existe déjà sous le même nom ; no Cette réécriture sera évitée.

métadonnées: indique si vous souhaitez l'inclure dans le résultat suivi des métadonnéesEn l'activant (yesDes traces de contexte supplémentaires sont ajoutées, utiles lors de l'utilisation de fournisseurs de décodage avancés ou de type WPP.

chemin tmf: ici vous définissez l'itinéraire vers le fichiers TMF Le format des messages de trace (Trace Message Format) est utilisé pour décoder les traces générées par WPP (Windows Software Trace Preprocessor). Ceci est nécessaire pour l'analyse des fournisseurs WPP personnalisés.

chemin de l'hommeSimilaire au précédent, mais ciblant le fichiers manifestes qui décrivent les événements ETW classiques. Cela permet d'afficher les événements de manière lisible lorsque le système ne dispose pas déjà de toutes les informations relatives au fournisseur.

sous-commande corréler : filtrer et normaliser les traces

La commande netsh trace correlate Il permet de prendre un ou plusieurs fichiers ETL et de générer un nouveau fichier de sortie filtré ou normalisé. Ceci est particulièrement utile lorsque vous souhaitez vous concentrer sur une activité spécifique identifiée par son GUID, ou lorsque vous traitez des traces très volumineuses et devez affiner les informations.

L'option la plus intéressante est une fonction filtre, qui vous permet de spécifier un ID_d'activité au format GUID (par exemple {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}et génère une nouvelle trace ne contenant que les événements liés à cet identifiant. Cela réduit considérablement le bruit lors de l'analyse d'une requête ou d'une session très spécifique.

Addition filtre d'activitéLà autres paramètres qui contrôlent le type d'informations conservées dans la trace résultante et celles qui sont supprimées, un point très pertinent dans les scénarios où des données personnelles ou des informations système globales sont traitées.

événements de corrélation conservés: si vous le définissez comme yesLes nouvelles archives préservent événements de corrélation Utilisées en interne pour relier des événements entre eux, elles sont utiles pour reconstituer la séquence logique d'une opération complexe.

retainpii: vous permet de décider si vous souhaitez les conserver événements impliquant des données personnelles (PII). Sa valeur par défaut est généralement yesqui préserve toutes les informations, mais dans les environnements sensibles, vous pouvez le paramétrer pour no pour éviter de révéler certains détails.

retainglobalevents: vérifie si le événements du système globalPar défaut, cette fonction est généralement activée, ce qui permet de fournir un contexte sur ce qui se passait sur l'ordinateur pendant que le problème de réseau survenait.

Sous-commande de diagnostic : scénarios de diagnostic guidés

La sous-commande netsh trace diagnose Il est conçu pour lancer sessions de diagnostic automatisées en fonction de scénarios préconfigurés. Au lieu de devoir choisir les fournisseurs ETW, les niveaux et les filtres un par un, vous sélectionnez un scénario comme InternetClient et vous laissez Windows activer tout le nécessaire.

Le paramètre clé est scénario, où vous indiquez le nom du scénario de diagnostic que vous souhaitez exécuter. Par exemple, en cas de problèmes de connexion Internet, vous choisiriez InternetClientPour d'autres problèmes, il peut exister des scénarios spécifiques pour les réseaux LAN, WLAN, le partage de fichiers, DirectAccess, etc.

Le choix Attribut nommé Il est utilisé pour passer options supplémentaires spécifiques au scénarioPar exemple, des détails spécifiques que le scénario lui-même peut utiliser pour orienter le diagnostic. L'ensemble des attributs disponibles varie selon le scénario sélectionné.

Avec enregistrerSessionTrace vous décidez si la trace générée lors du diagnostic est réserver pour une analyse ultérieureIl est généralement lié au paramètre rapportqui contrôle la génération d'un rapport. Si report=yes, généralement saveSessionTrace est activé par défaut yes afin que vous ayez à la fois le rapport et la trace brute.

Paramètre rapport vous permet d'activer la création d'un rapport de diagnostic à la fin de la scène. Si vous le réglez sur noLe système ne générera pas ce rapport, même si la trace ETL a été enregistrée comme indiqué dans saveSessionTrace.

Enfin, l'option capturer décider si, en plus de l'inscription à l'événement ETW, vous souhaitez capturer le trafic réseau réel lors du diagnostic. Avec capture=yes Vous obtiendrez des paquets réseau dans l'ETL, au prix de la génération d'un fichier plus volumineux et potentiellement plus sensible.

Autres sous-commandes importantes : dump, export, merge, postreset, show et help

Au-delà des commandes de connexion, de conversion et de diagnostic, trace netsh Elle comprend d'autres sous-commandes qu'il est utile de connaître car elles facilitent la gestion des configurations de traçage ou l'analyse ultérieure des données.

Utiliser dump : netsh trace dump

Utilisation à l'exportation : netsh trace export

Utiliser la fusion : netsh trace merge

Utilisation de la réinitialisation : netsh trace postreset

Afficher les détails : netsh trace show

Le classique help o ? dans le contexte trace muestra la liste des commandes et leurs descriptions Dans ce contexte précis, c'est quelque chose qui s'avère toujours pratique lorsque vous ne vous souvenez plus de la syntaxe exacte d'un paramètre ou que vous souhaitez voir quelles nouvelles options sont disponibles dans la version de Windows que vous utilisez.

Sous-commande de démarrage : Démarrer une session de surveillance réseau

Le cœur de tout le système est netsh trace start, qui est responsable de démarrer une session de traçageC'est ici que vous choisissez le scénario, activez ou désactivez la capture de paquets, définissez le fichier de sortie, la taille maximale, le mode de fichier et un certain nombre d'options avancées pour ajuster le niveau de détail.

L'un des paramètres clés est nom de sessionqui vous permet d'attribuer un nom d'identifiant de sessionCe n'est pas obligatoire, mais cela permet de faire la distinction entre les différentes sessions lors de la vérification des paramètres ou de l'état. netsh trace show status.

Avec scénario Vous pouvez en sélectionner un ou plusieurs. scénarios prédéfinis diagnostic, comme LAN, InternetClient, FileSharing o DirectAccessUn scénario est simplement un ensemble de fournisseurs ETW et de configurations conçus pour un type de problème spécifique, ce qui vous évite d'avoir à faire appel à chaque fournisseur individuellement.

Paramètres Mots-clés globaux y niveau mondial contrôler le filtre d'événements global ce qui s'appliquera à tous les fournisseurs. globalKeywords définit quels « mots-clés » ETW sont pris en compte, tandis que globalLevel Définissez le niveau minimal de gravité ou de détail que vous souhaitez enregistrer.

La valeur de niveau mondial Il varie généralement de 1 à 5, chaque valeur ayant une signification assez claire :

• 1 (Critique)Seuls les événements critiques, généralement des défaillances graves, sont enregistrés.
• 2 (Erreur): comprend les événements critiques et les erreurs.
• 3 (Avertissement): ajoute des avertissements aux critiques et aux erreurs.
• 4 (Informatif): ajoute des événements informatifs.
• 5 (Détaillé): enregistre absolument tous les événements, y compris les détails de débogage.

Si vous activez capturer a yesLa session enregistrera non seulement les événements ETW, mais aussi paquets réseau réelsVous pouvez contrôler la portée de cette capture avec type de capturequi accepte des valeurs telles que physical (adaptateurs physiques), vmswitch (commutateurs virtuels Hyper-V) ou both si vous voulez tout couvrir.

Avec le paramètre rapport c'est à vous de décider si le système doit Générer un rapport HTML à la fin de la session. Les valeurs typiques sont yes, no o disabledSelon que vous souhaitiez toujours générer des rapports, jamais, ou laisser cette fonctionnalité complètement désactivée.

Le choix persistant C'est particulièrement intéressant dans le cadre des diagnostics à long terme, car cela permet La session de suivi est conservée après un redémarrage. de l'équipe. Si vous l'activez avec persistent=yesLe suivi se poursuivra après le redémarrage jusqu'à ce que vous l'arrêtiez explicitement avec netsh trace stop.

Avec traceFichier vous établissez le Chemin et nom du fichier ETL où la trace sera stockée, par exemple traceFile=C:\Logs\networktrace.etlSi vous ne spécifiez rien, les noms par défaut seront utilisés. nettrace.etl dans le répertoire de travail actuel.

Paramètre taille maximale réparez le taille maximale en Mo du fichier ETLIl est étroitement lié au paramètre mode fichierqui définit le comportement du fichier lorsque cette taille maximale est atteinte : single (un seul fichier jusqu'à ce que la limite soit atteinte), circular (les données les plus anciennes sont écrasées, agissant comme une mémoire tampon circulaire) ou append (Les données sont ajoutées à la fin d'un fichier existant).

Le choix écraser vérifier si possible écraser un fichier ETL existantSi vous voulez éviter de perdre accidentellement d'anciennes traces, vous pouvez le laisser dans noSi vous préférez que le même nom de fichier soit toujours utilisé et remplacé si nécessaire, vous le mettez dans yes.

Avec corrélation c'est à vous de décider si vous souhaitez activer ou non corrélation des événements dans la trace, ce qui peut aider à reconstituer les chaînes d'appels ou les flux de travail complexes. Les valeurs possibles sont yes, no o disabled, selon le niveau de soutien souhaité.

Les filtres de capture autoriser à appliquer filtres spécifiques pour les paquets capturésPar exemple, pour limiter le trafic à une adresse IP, un port TCP, un protocole, etc. spécifiques. Cela réduit le volume de données et concentre l'analyse sur ce qui vous intéresse réellement.

Paramètres de voiture., stratégie SEO y niveau Ils vous permettent d'affiner encore davantage le tracé au niveau de fournisseur ETW individuelVous pouvez spécifier un fournisseur particulier par GUID ou par nom, lui attribuer un ensemble de mots clés et un niveau de détail différent du niveau global, et répéter cette combinaison pour plusieurs fournisseurs au cours de la même session.

L'ajustement Taille du tampon détermine le taille du tampon de trace En mémoire. Un tampon trop petit peut entraîner une perte d'événements en cas de forte charge, tandis qu'un tampon trop grand peut consommer plus de mémoire que nécessaire ; il convient donc de l'adapter à l'environnement.

Enfin, fournisseurFiltre y perfMerge Ils ajoutent un niveau de contrôle supplémentaire : le premier s’active Filtres spécifiques au fournisseur (lorsqu'ils sont disponibles), et le second indique s'ils doivent être données de performance combinées avec la trace principale, ce qui est très utile pour analyser les goulots d'étranglement ou les problèmes de performance du réseau.

Exemples pratiques d'utilisation de netsh trace

Pour voir concrètement comment tous ces paramètres sont appliqués, il est utile d'examiner quelques exemples. de vrais commandos que vous pouvez utiliser comme modèle. À partir de là, il est facile d'ajuster de petits détails pour les adapter à votre environnement.

Exemple de conversion : netsh trace convert input="C:\Logs\mytrace.etl" output="C:\Logs\mytrace.xml" dump=XML

Exemple de corrélation : netsh trace correlate input="C:\Logs\trace1.etl,C:\Logs\trace2.etl" output="C:\Logs\correlated_trace.etl"

Créer un fichier TXT : netsh trace convert input="C:\Logs\mytrace.etl" output="C:\Logs\mytrace.txt" dump=TXT

Exemple de fusion : netsh trace merge input="C:\Logs\trace1.etl,C:\Logs\trace2.etl" output="C:\Logs\merged_trace.etl"

Liste des interfaces : netsh trace show interfaces

Commencer la session: netsh trace start capture=yes tracefile="C:\Logs\networktrace.etl" report=yes persistent=yes

Scénarios, persistance et journalisation circulaire dans Windows 7/2008 R2 et versions ultérieures

Dans des environnements tels que Windows 7 et Windows Server 2008 R2 Il n'est plus indispensable d'utiliser des outils externes pour analyser le trafic. Grâce à une console d'administration, il suffit d'exécuter une commande comme celle-ci : netsh trace start avec les paramètres appropriés pour obtenir une capture utile, même de manière persistante. Elles sont également utiles pour analyser le démarrage de Windows lorsqu'ils sont associés à des outils spécifiques au système.

Courir: C:\Windows\system32> netsh trace start capture=YES report=YES persistent=YES

Arrêter: C:\Windows\system32> netsh trace stop

Lorsque vous n'avez plus besoin d'enregistrer d'informations, vous arrêtez la surveillance avec :

Une fois terminées, elles sont générées par défaut. deux fichiers très importants: un fichier avec l'extension . .ETL (Journal de suivi des événements), où sont stockés les événements et les paquets, et un fichier .CAB qui regroupe des informations supplémentaires, telles que des détails sur matérielCartes réseau, version du système d'exploitation et configuration sans fil.

Utilisation de netsh trace vers le trafic « snort » Il est particulièrement pratique en analyse forensique ou sur les systèmes où l'installation de nouveaux logiciels est interdite. Outre sa facilité d'utilisation, il offre des avantages tels que la possibilité de configurer traces persistantes qui survivent aux redémarrages et à l'option d'utilisation mode d'enregistrement circulaireGrâce à cela, vous pouvez laisser une session active indéfiniment jusqu'à ce que l'événement recherché se produise, sans que le fichier de trace ne devienne illimité.

Un autre point fort est le scénarios prédéfinis spécifiquesAvec des commandes comme netsh trace show scenarios Vous pouvez voir les scénarios réseau disponibles, puis démarrer une analyse ciblée sur un cas spécifique, par exemple :

netsh trace start scenario=InternetClient

Si vous souhaitez approfondir davantage les informations, vous pouvez combiner plusieurs scénarios ou ajouter des fournisseurs individuels à un scénario principal. Par exemple, pour suivre le scénario wlan et, de plus, le fournisseur client DHCP :

netsh trace start scenario=wlan provider=Microsoft-Windows-Dhcp-Client

Pour approfondir vos recherches sur un fournisseur spécifique et voir les mots-clés et les niveaux qu'il affiche, vous pouvez utiliser :

netsh trace show provider Microsoft-Windows-TCPIP

Demander de l'aide : netsh trace start /?

Fichiers de sortie : rapports ETL, CAB et HTML

Lorsque vous arrêtez une session de suivi, Windows génère au moins deux types de fichiers. D'une part, le Fichier ETL principal (par défaut) nettrace.etl, sauf si vous avez défini un autre nom avec tracefile=), qui contient les événements ETW et, si vous avez activé la capture, les paquets réseau.

Ce fichier ETL peut être ouvert avec divers outils d'analyse, tels que l'ancien Network Monitor, Analyseur de performances Windows ou encore PowerShell à l'aide Get-WinEvent extraire des informations par programmation. De plus, grâce à netsh trace convert Vous pouvez obtenir les versions CSV, XML, EVTX ou TXT pour les traiter avec d'autres systèmes.

D'autre part, vous avez le Fichier .CAB, normalement appelé par défaut nettrace.cabCe fichier contient des informations système détaillées, telles que les données matérielles, les adaptateurs réseau, les versions du système d'exploitation, les paramètres sans fil et, de manière générale, tout ce qui permet de contextualiser le diagnostic. Dans ce fichier CAB, vous trouverez généralement un Report.etl (copie des informations principales) et un report.html avec un rapport généré si vous avez activé report=yes lors de la connexion.

Pour obtenir le plus de détails possible dans ce rapport, il est recommandé Démarrez le traçage avec la génération de rapports activée.Quelque chose d'aussi simple que d'ajouter report=yes en commande netsh trace startAinsi, lorsque vous fermerez la session, vous disposerez non seulement de la trace ETL brute, mais aussi d'une analyse consolidée beaucoup plus lisible pour une première vérification.

Utilisation de filtres pour réduire la taille et le bruit des traces

Lorsque vous laissez une capture s'exécuter pendant une longue période ou lorsque vous activez plusieurs fournisseurs ETW simultanément, le résultat est généralement un fichier ETL volumineuxCela complique non seulement la vérification manuelle, mais peut aussi entraîner la perte d'événements si les mémoires tampons d'ETW sont saturées. C'est pourquoi il est essentiel d'apprendre à utiliser les filtres proposés. netsh trace.

D'une part, vous avez le Niveaux et mots-clés ETW Comme indiqué précédemment, cela s'applique à la fois globalement et par fournisseur. En réduisant le niveau de détail (par exemple, de 5 « Détaillé » à 3 « Avertissement ») ou en filtrant par quelques mots-clés seulement, vous limitez considérablement le nombre d'événements enregistrés.

Aide au filtrage : netsh trace start /?

Un exemple typique de filtre avancé serait quelque chose comme :

netsh trace start scenario=InternetClient provider=Microsoft-Windows-TCPIP level=5 keywords=ut:ReceivePath,ut:SendPath

Vous indiquez ici au système que Décrire le scénario InternetClientmais cela, pour le fournisseur Microsoft-Windows-TCPIP, utilisation Niveau 5 (Détaillé) et n'enregistrer que les événements associés aux mots-clés ut:ReceivePath y ut:SendPathCela exclut de nombreux événements de ce fournisseur qui ne sont pas liés à la réception ou à l'envoi, réduisant ainsi le bruit sans perdre de détails là où c'est important.

Les niveaux disponibles pour ce fournisseur et d'autres suivent la même logique générale (Critique, Erreurs, Avertissements, Informatif, Détaillé), ce qui vous permet de les combiner avec des mots clés spécifiques pour un ciblage encore plus précis. La liste complète des mots clés pris en charge par un fournisseur est disponible via netsh trace show provider <nombre>.

En plus du filtrage basé sur les événements ETW, netsh trace prend également en charge les filtres de paquetssimilaires à celles de Network Monitor, à condition que la capture de paquets soit activée avec capture=yesPar exemple, pour limiter la capture au trafic IPv4 lié à une adresse IP spécifique :

netsh trace start capture=yes ipv4.address=x.x.x.x

Ce filtre ne prendra en compte que les personnes inscrites. Paquets IPv4 dont la source ou la destination correspond à l'adresse IP spécifiéeC'est idéal lorsque vous souhaitez suivre le trafic provenant d'un hôte spécifique sans que le reste du réseau ne « vienne encombrer » le fichier ETL.

Si vous souhaitez approfondir vos connaissances sur le langage de filtrage des paquets, vous pouvez passer directement à :

Aide au filtrage : netsh trace show capturefilterHelp

Vous y trouverez une description des filtres valides et des exemples d'utilisation pour différents protocoles et champs, allant des filtres IP ou de port simples aux conditions plus complexes. La maîtrise de ces filtres vous permettra d'exécuter de longues sessions sans craindre que le fichier ne devienne ingérable.

Visualisation et analyse avancées des traces ETL

Une fois les fichiers ETL et CAB générés, l'étape suivante est analyser réellement les informationsC’est là qu’interviennent des outils comme Network Monitor, Windows Performance Analyzer, ou même Wireshark, même si dans certains environnements vous n’aurez peut-être pas l’autorisation de les installer.

Si vous avez accès à Network Monitor (ou à l'analyseur de trafic intégré à certaines versions de Windows), vous pouvez Ouvrez le fichier ETL avec l'analyseur Windows. pour visualiser les paquets et les événements de manière plus structurée, avec des champs décodés qui facilitent la compréhension de ce qui se passe dans chaque flux réseau.

Dans les cas où vous souhaitez utiliser Wireshark, une option est : Convertissez le fichier ETL au format CAP compatible. Vous pouvez utiliser Microsoft Message Analyzer (alors disponible en version bêta 3). Après conversion, vous pouvez charger le fichier dans Wireshark et exploiter tous ses filtres et ses fonctionnalités avancées d'analyse de protocole.

En revanche, si vous vous trouvez dans des environnements très restrictifs où vous ne pouvez rien installer, vous avez toujours la possibilité de tirer parti de netsh trace convert Vous pouvez déjà utiliser PowerShell. Par exemple, vous pouvez convertir la trace au format EVTX ou CSV, puis l'utiliser. Get-WinEvent ou des cmdlets d'importation CSV pour travailler avec des données provenant de scripts, en filtrant les événements par champs, heures, etc.

Il est important de garder à l'esprit que si vous voyez des messages de ce type dans votre analyse, cela peut être dû à une erreur. "Fragment de paquet (54 octets)" Sans champs tels que l'adresse IP source ou de destination, le problème pourrait venir du fait que la trace n'a pas été capturée. capture=yes ou que le fournisseur a utilisé (comme Microsoft-Windows-NDIS-PacketCapture) nécessite des outils spécifiques pour décoder intégralement le contenu. Dans de nombreux cas, il est nécessaire de combiner capture=oui L'utilisation de filtres de paquets bien définis, puis la conversion vers un format approprié (tel que CAP ou un TXT bien structuré), résout ce manque apparent de détails.

trace netsh C'est un véritable couteau suisse pour le diagnostic des réseaux sous Windows : il offre la capture de paquets sans logiciel supplémentaire, des scénarios prédéfinis pour différents types de problèmes, des options de persistance et une journalisation circulaire pour éviter de manquer des moments critiques, des filtres puissants pour contrôler la taille des fichiers, ainsi que des commandes de conversion et de corrélation qui facilitent l'analyse ultérieure, que ce soit avec des outils graphiques, des scripts ou une combinaison des deux.