Använda Netsh för att hantera spårningar
I Windows kan man använda netsh.exe (från en kommandorad) för att aktivera och konfigurera nätverksspår. I det här avsnittet beskrivs några av de netsh.exe kommandon som kan hjälpa dig att felsöka spårningsproblem, inklusive de nya netsh trace funktionerna.
Anteckning
Du måste köra netsh-kommandona från en kommandoprompt med administratörsbehörighet.
Samla in spårningar
Scenarier är fördefinierade uppsättningar med spårningsprovidrar som kan aktiveras för felsökning. Om du vill visa listan över tillgängliga nätverksrelaterade scenarier skriver du netsh trace show scenarios (netsh trace show providers listar alla tillgängliga leverantörer, inklusive sådana som inte är relevanta för nätverk).
När du har identifierat ett scenario som ser relevant ut för dina problem kan du se en lista över alla leverantörer som ingår i det scenariot. Om du till exempel vill se alla leverantörer som är aktiverade i Scenariot InternetClient skriver du netsh trace show scenario internetclient.
Du kan starta en spårning för alla leverantörer i ett visst scenario eller en uppsättning scenarier. Om du till exempel vill starta en spårning för alla providers som är aktiverade i Scenariot InternetClient skriver du netsh trace start scenario=internetclient. Om du vill samla in providers för mer än ett scenario kan du ange alla lämpliga scenarier, till exempel netsh trace start scenario=FileSharing scenario=DirectAccess. Observera att endast en spårningssession kan aktiveras i taget. det går inte att samla in spårningsinformation samtidigt från olika uppsättningar av leverantörer i separata filer.
Du kan också starta en spårning för ytterligare leverantörer som inte ingår i det specifika scenariot. Du kanske till exempel vill starta spårningar för alla leverantörer som är aktiverade i WLAN-scenariot och även DHCP-providern. Det gör du genom att skriva netsh trace start scenario=wlan provider=Microsoft-Windows-Dhcp-Client.
Du kan också se mer information om en specifik provider genom att skriva netsh trace show provider följt av providernamnet.
Om du vill se alla tillgängliga alternativ och filter kan du skriva netsh trace start /?.
Om du vill stoppa spårningen skriver du netsh trace stop.
Använda utdatafilerna
När spårningen stoppas genereras två filer som standard: en ETL-fil (Händelsespårningslogg) och en .cab fil.
Spårningshändelser samlas in i ETL-filen, som kan visas med hjälp av verktyg som Network Monitor. ETL-filen heter nettrace.etl som standard, eller så kan du ange ett annat namn genom att inkludera tracefile=filename.etl när spårningen startas.
Filen .cab innehåller omfattande information om programvaran och maskinvaran i systemet, till exempel adapterinformation, version, operativsystem och trådlösa inställningar. Filen .cab namnges som standard nettrace.cab, såvida inte ett annat namn har angetts enligt ovan.
Den här .cab filen innehåller två filer som alltid har samma namn. Report.etl är en annan kopia av samma information som ingår i nettrace.etl. Filen report.html innehåller ytterligare information om spårningshändelserna och annan information som samlas in. Ta med kommandot rapport = ja när du startar en spårning för att få mest information.
Använda filter för att minska mängden data i ETL-spårningsfilen
När avbildningar sker under en lång tidsperiod kan ETL-spårningsfilen bli mycket stor. I scenarier där flera leverantörer är aktiverade, vilket resulterar i hög trafik, kan ETW-buffertbegränsningar orsaka att vissa spårningar tas bort. Förutom detta kan en minskning av mängden data i ETL-spårningsfilen underlätta felsökningen genom att minska mängden data som ska granskas.
Netsh-spårningsfilter kan användas för att minska ETL-spårningsfilens storlek. Dessa spårningsfilter är ETW-nivåer och nyckelord som kan tillämpas på enskilda leverantörer.
Om du vill se en lista över filter som kan användas skriver du netsh trace start /?
Ett exempel på ett filter är netsh trace start InternetClient provider=Microsoft-Windows-TCPIP level=5 keywords=ut:ReceivePath,ut:SendPath.
I det här exemplet är nivån inställd på 5, vilket innebär att det maximala antalet händelser visas. I följande tabell visas tillgängliga inställningar:
| Nivå | Inställning | Beskrivning |
|---|---|---|
| 1 | Kritisk | Endast kritiska händelser visas. |
| 2 | Fel | Kritiska händelser och fel visas. |
| 3 | Varningar | Kritiska händelser, fel och varningar visas. |
| 4 | Informativt | Kritiska händelser, fel, varningar och informationshändelser visas. |
| 5 | Mångordig | Alla händelser visas. |
Nyckelorden ut:ReceivePath och ut:SentPath filtrerar händelserna så att endast de händelser som spåras på sökvägen ta emot eller skicka visas. En fullständig lista över nyckelord för en specifik provider finns genom att skriva netsh trace show provider följt av providernamnet. Om du till exempel skriver netsh trace show-providern Microsoft-Windows-TCPIP visas information om Microsoft-Windows-TCPIP-providern, inklusive en lista med nyckelord.
Netsh har också stöd för paketfiltrering (liknar Network Monitor) när paketinsamling är aktiverat (genom att ange capture = ja). Paketfiltrering kan användas för att samla in ett begränsat antal paket i en spårningsfil. Till exempel netsh trace start capture = yes ipv4.address = x.x.x.x , där x.x.x.x.x är IP-adressen, samlar bara in paket med ipv4-trafik med den specifika käll- eller måladressen.
Om du vill ha mer information om hur du använder paketfiltrering kan du skriva netsh trace show capturefilterHelp.