Im Folgenden wird erläutert, wie ein Netzwerk-Trace in Microsoft Windows erstellt und dann mithilfe eines Open-Source-Tools von Drittanbietern in ein für Wireshark kompatibles Format umgewandelt wird.
- Netzwerk Trace mit netsh erzeugen
Der Trace kann mit dem folgenden Befehl gestartet werden, und die Informationen werden in der angegebenen Datei gespeichert.
netsh trace start persistent=yes capture=yes tracefile=c:\temp\nettrace-boot.etl
Der Trace bleibt auch nach einem Rechner Neustart aktiv und kann bei Bedarf über den Befehl "netsh trace stop" beendet werden. - Den Netzwerk Trace in das für Wireshark geeignete Format konvertieren
- Analyse des Netzwerk-Traces in Wireshark
Die unter zu 2. erzeugte Datei kann nun in Wireshark importiert und anschließend analysiert werden.
Quellen:
https://techcommunity.microsoft.com/t5/iis-support-blog/capture-a-network-trace-without-installing-anything-amp-capture/ba-p/376503#:~:text=%20Capture%20a%20Network%20Trace%20without%20installing%20anything,trace%20stop%22%20%28from%20an%20elevated%20prompt%29.%20See%20More.
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/converting-etl-files-to-pcap-files/ba-p/1133297