Een netwerk trace maken op windows kan nu effectief en eenvoudig met netsh (https://learn.microsoft.com/en-us/windows-server/networking/technologies/netsh/netsh-contexts)
netsh trace start capture=yes tracefile=c:\temp\capture.etl IPv4.Address=192.168.1.1De trace is nu gestart en kan gestopt worden middels:
netsh trace stopDe output is een Microsoft formaat, maar die kan in een (wireshark) pcap formaat worden omgezet.
Vroeger kon dit met de PEF powershell module, maar die bestaat niet meer. Gebruik daarom etl2pcapng (zie https://github.com/microsoft/etl2pcapng?tab=readme-ov-file) Binairy releases zijn te vinden op: https://github.com/microsoft/etl2pcapng/releases
etl2pcapng.exe c:\temp\capture.etl c:\temp\capture.pcapng
IF: medium=eth ID=0 IfIndex=2 VlanID=0
IF: medium=eth ID=1 IfIndex=6 VlanID=0
Wrote 11847 frames to c:\Temp\capture2.pcapngDeze netwerk trace file kan nu in Wireshark worden geanalyseerd.
