troushoo

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

  1. --/--/--(--) --:--:--|
  2. スポンサー広告

追加ソフトのインストールなくWindows 上でパケットキャプチャーを行い、それをWireshark で解析する方法

概要・まとめ
以下のコマンド・ツールを使えば、追加ソフトのインストールなくWindows 上でパケットキャプチャーを行い、それをWireshark で解析することができます。
・netsh trace
・Message Analyzer

内容
追加ソフトのインストールなくWindows 上でパケットキャプチャーを行い、それをWireshark で解析する方法を紹介します。
以下の順に説明していきます。
1. Windows 上でパケットキャプチャー : netsh trace を使用
2. パケットキャプチャーの出力をWireshark が読めるフォーマットに変更 : Message Analyzer を使用
3. Wireshark で解析

1. Windows 上でパケットキャプチャー : netsh trace を使用
“netsh trace” コマンドを用いて、Windows 上でパケットキャプチャーを行います。
1.1. 管理者権限のコマンドプロンプトを実行します。

1.2. “netsh trace start capture=yes” を実行し、パケットキャプチャーを開始します。
netsh trace start

1.3. パケットキャプチャー終了させるには”netsh trace stop” を実行します。
netsh trace stop

1.4. パケットキャプチャーが出力されます。
出力パスは、”C:\Users\<ユーザー名>\AppData\Local\Temp\NetTraces\NetTrace.etl” です。
パケットキャプチャーの出力
このパスは、上記1.3. で"netsh trace stop” を実行した際にも表示されます。
パス

2. パケットキャプチャーの出力をWireshark が読めるフォーマットに変更 : Message Analyzer を使用
上記1 で作成したパケットキャプチャーの出力を、Wireshark が読めるフォーマットに変更します。
フォーマットの変換を行うマシンは、パケットキャプチャーを行ったマシンである必要はありません。

2.1. MessageAnalyzer をダウンロードします。
ダウンロードは2013/8/24 現在、https://connect.microsoft.com/site216/Downloads からできます。
ダウンロード
現在Beta であり、ダウンロード方法が少しややこしいですが、ステップバイステップはMicrosoft のブログ(英語) に乗っております。スクリーンショット付きです。

2.2. Message Analyzer をインストールします。
インストールは、ダウンロードしたインストーラーを実行し、ウィザードに従うだけです。数分で終了します。

2.3. Message Analyzer を実行します。
Message Analyzer を実行

2.4. “File” –> “Quick Open” より、上記1 で作成したパケットキャプチャーの出力(= NetTrace.etl) を開きます。
パケットキャプチャーの出力を開く

2.5. “File” –> “Save As” をクリックし、“All Message” を選択の後”Export” をクリックします。
Export

2.6. “ファイルの種類”に、”Network Monitor Capture Files (*.cap)” が選択されていることを確認し、保存します。
cap ファイルを保存

3. Wireshark で解析
上記2.6. で保存したファイルはWireshark で開くことができます。
Wireshark で開けた

リンク
・So you want to use Wireshark to read the netsh trace output .etl? (英語)
今回の記事の元ネタです。
http://blogs.technet.com/b/yongrhee/archive/2013/08/16/so-you-want-to-use-wireshark-to-read-the-netsh-trace-output-etl.aspx

・Message Analyzer (英語)
https://connect.microsoft.com/site216/


  1. 2013/08/25(日) 23:12:18|
  2. ネットワーク
  3. | トラックバック:0
  4. | コメント:0
<<Visual Studio 2013 の新機能 : .NET アプリのダンプでメモリ解析 | ホーム | Wireshark での解析時に役立つTips (3)>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://troushoo.blog.fc2.com/tb.php/130-1470446c
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (92)
ネットワーク (76)
Visual Studio (56)
SOS・Psscor2/Psscor4 (25)
WinDbg (25)
Linux (23)
Azure (17)
Tips (20)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。