Skip to end of metadata
Go to start of metadata


Beschreibung:

Dieses Dokument beschreibt, wie Sie mit dem Windows-eigenen Dienstprogramm ein Packet Capture aufzeichnen und dieses per Wireshark auswerten können.


Voraussetzungen:

  • Microsoft Windows 10 mit administrativen Benutzerrechten
  • Installiertes Wireshark (download)
  • kostenloses Datei-Konvertierungstool "etl2pcapng" (download)

Das Windows-eigene Analyse-Tool "Microsoft Message Analyser" wurde zum 25.11.2019 abgekündigt und die Download-Links entfernt.

Das Tool "etl2pcapng" muss nicht auf dem PC installiert werden. Es genügt, die heruntergeladene ZIP-Datei zu entpacken.


Vorgehensweise:

1. Öffnen Sie die Eingabaufforderung von Windows mit administrativen Rechten.

2. Geben Sie den Befehl netsh trace start capture=yes ein, um den Trace zu starten.

Sie können den folgenden Befehl verwenden, wenn Sie eine spezielle IP-Adresse angeben möchten:

netsh trace start capture=yes IPv4.Address=X.X.X.X

3. Der Trace wird nun ausgeführt.

4. Zum Beenden des Trace müssen Sie den Befehl  netsh trace stop verwenden. Der Trace wird dann in Ihrem Benutzerverzeichnis im Pfad "...\Local\Temp\NetTraces" gespeichert.

5. Die erzeugte Datei kann mit dem kostenfreien Programm "etl2pcapng" in ein Wireshark-kompatibles Format konvertiert werden.

6. Dazu müssen Sie im Verzeichnis, in welchem sich die Datei etl2pcapng.exe befindet, den Befehl "etl2pcapng <ETL-Datei>.etl <PCAPNG-Datei>.pcapng" eingeben.

Die aufgezeichnete Trace-Datei muss sich im gleichen Verzeichnis wie die Datei etl2pcapng.exe befinden.

7. Die konvertierte PCAPNG-Datei können Sie nun in Wireshark öffnen und dort analysieren.