Windows comment faire une capture du trafic réseau avec NETSH

Souvent on tombe dans le cas ou nous avons besoins de faire une capture des trames tcp/ip et souvent je vois des personnes utiliser NETMON ou WIRESHARK.

Hors des fois on n’a pas forcément envie d’installer  ce type de logiciel ou on a tout simplement pas le droit, et puis lancer une capture sur une 10ene de machines en même temps pour étudier une chaîne de connexion, c’est pas forcément la méthode la plus pratique avec WIRESHARK.

Avec NETSH, on peut faire le même type de capture sans pour autant, avoir besoins d’installer d’outils supplémentaire.

pour ce faire :

  • ouvrir un invite de commande en administrateur
  • exécuter la commande, le paramètre persistent permet de reprendre la capture de redémarrage
  • puis pour arrêter la capture

Le chemin des fichiers de trace sont dans c:\users\[account]\AppData\Local\Temp\NetTraces

dump1

On y retrouve 2 fichiers, un fichier NetTrace.etl qui contient la capture réseau. On peut ouvrir le fichier avec netmon ou Message Analyzer

dump3

le 2eme est une archive avec toute la configuration réseau et l’extraction des journaux :

dump2

Voici la description du contenu

Adapter Information Adapterinfo.txt
Credential Providers Registry Keys Allcred.txt
Credential Provider Filters Allcredfilter.reg.txt
Ipconfig /DisplayDNS Dns.txt
Wireless System Information Summary Envinfo.txt
Nbtstat Output Filesharing.txt
Group Policy Results Gpresult.txt
ARP Output and Netsh INT IPv6 Show Neighbors commands Neighbors.txt
Network Events XML Netevents.xml
Net Events Log Neteventslog.txt
Network IO state Netiostate.txt
Network Profiles Registry keys Networkprofiles.reg.txt
Winlogon Notifications Registry Keys Notif.reg.txt
Operating System Information Osinfo.txt
Netsh Trace Capture Report.etl
Report HTML Report.html
System Port Configuration Sysports.xml
System Ports Configuration Log File Sysportslog.txt
Running Tasks List Tempfile.txt
WCN Information Wcninfo.txt
WFP Filter List Wfpfilters.xml
WFP Filter List Log File Wfplog.log
WFP State Report Wfpstate.xml
WFP State Report Log File Wfpstatelog.txt
Windows Firewall Configuration Windowsfirewallconfig.txt
Windows Firewall Connection Security Event Log Windowsfirewallconseclog.evtx
Windows Firewall Connection Security Verbose Event Log Windowsfirewallconseclogverbose.evtx
Windows Firewall Effective Rules List Windowsfirewalleffectiverules.txt
Windows Firewall Event Log Windowsfirewalllog.evtx
Windows Firewall Verbose Event Log Windowsfirewalllogverbose.evtx
Winsock Catalog Provider List Winsockcatalog.txt
WLAN AutoConfig Event Log Wlanautoconfiglog.evtx

source:

http://support.microsoft.com/kb/2749575

voici le descriptif de la commande :

 

louis lejuez

Twitter  

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *