Paketmitschnitte mittels netsh sind seit Windows 7 problemlos möglich: http://newyear2006.wordpress.com/2009/08/26/netzwerkprobleme-unter-windows-7-analysieren/
Eine schnelle Einführung für Windows 7 findet man hier: http://blogs.technet.com/b/netmon/archive/2009/05/13/event-tracing-for-windows-and-network-monitor.aspx
Hier auch ein Link für eine rudimentäre Troubleshooting Seite im MSDN, vielleicht kommt da ja mal noch was dazu: http://msdn.microsoft.com/en-us/library/windows/desktop/dd569139(v=vs.85).aspx.
Mehr Infos auch mit spezifischen Hinweisen fürs Troubleshooting im Netzwerk hat diese Seite: http://msdn.microsoft.com/en-us/library/windows/desktop/dd569136(v=vs.85).aspx
Aber jetzt zum eigentlichen Thema. In einem Hyper-V Server Version 3 kann man virtuelle Switche erstellen. An diese Switche kann man sich mittels netsh trace NDIS-Pakete abgreifen und in ETL-Dateien speichern. Realisiert wird dies durch den Hyper-V Extensible Switch: http://blogs.technet.com/b/server-cloud/archive/2011/11/08/windows-server-8-introducing-hyper-v-extensible-switch.aspx. Hier eine Entwicklerbeschreibung, wie die Schnittstelle genutzt und mit eigenen Filtern erweitert werden kann: http://msdn.microsoft.com/en-us/library/windows/hardware/hh598135(v=vs.85).aspx.
Mitschnitt der Pakete
netsh trace start provider=Microsoft-Windows-Hyper-V-VmSwitch
capture=yes capturetype=vmswitch
Mittels verschiedener Parameter kann man auch die Datei explizit bestimmen, wo die Daten gespeichert werden sollen und auch noch einen Filter setzen um nur bestimmte Pakete zu erhalten.
Eine ausführliche Beschreibung der Parameter und Möglichkeiten für Windows Server 2012 findet man unter: http://technet.microsoft.com/en-us/library/jj129382.aspx.
Mögliche Probleme
Vorsicht, wer für die Analyse der ETL-Datei eine alte Version der Parserdateien des Netzwerkmonitor verwendet, der sieht keine sinnvollen Pakete der höheren Ebenen. Statt dessen erscheint:
NDISPacCap_MicrosoftWindowsNDISPacketCapture:Not exist EventID
Hier liegt das Problem in veralteten Parserdateien, welche die neuen vmSwitch-NDIS-Pakete nicht interpretieren können.
Lösung
Man benötigt also entweder eine neuere Version des Network Monitor als Version 3.4 oder man holt sich die aktuellen Parser-NPL-Dateien direkt von http://nmparsers.codeplex.com/SourceControl/list/changesets und bindet diese ein.
26 Oktober 2012 um 0:15 |
[...] ein paar Artikel, welche verdeutlichen was mit der alten Version bereits möglich war: http://newyear2006.wordpress.com/2012/07/06/mitschneiden-von-netzwerkverkehr-am-virtuellen-switch-ei…, http://newyear2006.wordpress.com/2009/12/27/usb-probleme-in-windows-7-analysieren-und-verstehen/ [...]