Contents
本番環境の Windows Server あるある
何かしらの障害対応で「パケットがみたい…!!」となることはよくありますよね。
ただ、本番環境に後から WireShark を入れるのは中々難易度が高いし責任がどうだこうだとなりかねないので、Windows の標準機能でパケットを取得しましょうという趣旨です。
よくわかるパケットのとり方
以下のコマンドを叩くだけで Windows でパケットを取ることができます。
①キャプチャ開始
- netsh trace start capture=yes
パケットが集まったら以下のコマンドで取得を停止します。
②キャプチャ停止
- netsh trace stop
トラフィックログを WireShark で見る
取得したトラフィックは以下のフォルダに保存されます。
- C:\Users\ユーザ名\AppData\Local\Temp\NetTraces\
「NetTrace.cab」と「NetTrace.etl」がありますが、使うのは.etlの方です。.etlの方を自端末に保存しましょう。
Microsoft Message Analyzer
先程の「NetTrace.etl」は、Microsoft Message Analyzer という Microsoft が提供しているソフトウェアの形式なので、WireShark で直接開くことができません。
ただし、Microsoft Message Analyzer で一度開いた後にエクスポートすることで WireShark で利用可能な .cap 形式に変換することができます。
後はエクスポートした .cap ファイルを WireShark で開くだけです。お疲れ様でした。
すぐエクスポートしない
Microsoft Message Analyzer はトラフィックログを徐々に表示する仕様のため、すぐにエクスポートすると歯抜けの状態で .cap ファイルが生成されてしまいます。
ログロード中はタスクバーのアイコンが波打つので、落ち着くまで待ってからエクスポートしてください。