Windows 7/Windows 2008 R2 üzerinde netsh komutu ile network trace toplanması

  • Article

Windows sistemler uzerinde troubleshooting yaparken, özellikle network tarafiyla ilgili problemlerde network trace toplanmasi pek çok durumda problem çözümüne yardimci olabiliyor.

Iste Windows 7 ve Windows 2008 R2 üzerinde bu tür network trace'ler toplamak simdi çok daha kolay hem de hiç bir ek tool kurmaksizin sadece isletim sistemi içine entegre edilmis olanaklar ile. Simdi isterseniz bunun biraz daha detaylarina bakmaya çalisalim:

a) Network trace'in baslatilmasi:

Network trace toplanmasi icin yapmaniz gereken tek sey asagidaki komutu calistirmak: (Elevated command prompt'dan çalistirilmasi gerekiyor)

c:\> netsh trace start capture=yes

Trace configuration:
-------------------------------------------------------------------
Status: Running
Trace File: C:\Users\Administrator\AppData\Local\Temp\NetTraces\NetTrace.etl
Append: Off
Circular: On
Max Size: 250 MB
Report: Off

Yukaridaki sekilde network trace baslatildiktan sonra, artik Windows 7 / Windows 2008 makineden disariya gonderilen ya da disaridan gelen tüm paketler NDIS driver'i icine entegre edilmis ETW tracing sayesinde capture edilip bir ETL dosyasi içine yazilacaktir.

Komut "netsh trace start capture=yes" formatinda calistirildiginda su default ayarlar ile network traffic capture edilecektir:

- Maximum network trace boyutu 250 MB olacak ve trace dosyasi doldugunda, paketler, yeni paketler ile overwrite edilecektir
- Trace dosyasi "%LOCALAPPDATA%\Temp\NetTraces\NetTrace.etl" ismiyle yaratilacaktir.
- Herhangi bir filtre uygulanmadan tüm interface'lerdeki network trafik toplanacaktir.
- Istenirse, capture file boyutunu, dosyanin overwrite edilip edilmeyecegini, hangi interface'lerin monitor edilecegini, capture esnasinda bir filtre uygulanip uygulanmayacagini da ayarlamak mumkun. Tum bunlarin ne sekilde yapilabilecegi konusunda asagidaki komutu calistirarak daha fazla bilgi alabilirsiniz:

netsh trace show capturefilterhelp

 

b) Problemin tekrar olusturulmasi:

Bu asamada yapmaniz gereken sey, tekrar problemi olusturmaktir. Ornegin bir share erisim problemi yasiyorsaniz, burada tekrar ayni share'e erismeye calisabilirsiniz ya da bir DHCP server'dan IP adres alma problemi yasiyorsaniz, client'i tekrar IP adres almaya zorlayabilirsiniz. Sonucta onemli olan, yasadiginiz sorunu trace baslatildiktan sonra burada tekrarlamak.

 

c) Network trace'in durdurulmasi:

Problemi tekrar olusturduktan sonra cok fazla vakit gecirmeden network trace'i durdurmak uygun olacaktir. (Network trace'i mumkun oldugunca kucuk tutmak acisindan). Bu islemi "netsh trace stop" komutu ile yapabilirsiniz:

C:\>netsh trace stop
Correlating traces ... done
Generating data collection ... done
The trace file and additional troubleshooting information have been compiled as "C:\Users\Administrator\AppData\Local\Temp\NetTraces\NetTrace.cab".
File location = C:\Users\Administrator\AppData\Local\Temp\NetTraces\NetTrace.etl
Tracing session was successfully stopped.

Yukaridaki output'dan da dikkat edilecegi uzere, netsh komutu sadece network trace toplamakla kalmiyor, ayni zamanda makine ile ilgili bir cok detay bilgiyi de farkli text dosyalar icinde toplayip Nettrace.cab ismiyle compress edip gene "%LOCALAPPDATA%\Temp\NetTraces" folder'i icine koyuyor.

d) Network trace'in analizi

Son asamada toplanmis olan network trace'i analiz edebilmemiz icin nettrace.etl dosyasini convert etmemiz gerekecektir. Hem ETL dosyasini convert etmek hem de convert edilmis ETL dosyadan paketleri inceleyebilmek icin Network Monitor'u kullanabiliriz. Bunun icin asagidaki link'ten analizi yapacaginiz makineye Network Monitor'u kurabilirsiniz:

https://www.microsoft.com/downloads/details.aspx?FamilyID=983b941d-06cb-4658-b7f6-3088333d062f&displaylang=en
Microsoft Network Monitor 3.3

Onemli not: Yazimizin basinda da belirttigimiz gibi network trace'in toplanacagi makineye Network Monitor kurulmasi gerekmemektedir. Sadece toplanmis network trace'i nerede analiz edeceksek o makineye Network Monitor'u kurmamiz yeterli olacaktir.

Not: Network Monitor icinden, paketleri dogru gorebilmeniz icin Windows parser'larin "Full" durumunda olmasi gerekmektedir. Bu islemi Network Monitor icerisindeyken Tools > Options > Parser tabina gidip "Windows" satiri isaretliyken ust kisimdan "Stubs" butonuna tiklayarak yapabilirsiniz

parser1

 

Asagida da toplamis oldugumuz nettrace.etl dosyasinin Network Monitor icinden acilmis seklini gorebilirsiniz:

 

netmon1

 

Diger yazilarimizda Windows 7 ve Windows 2008 R2 ile birlikte gelen yeni tracing mekanizmalarindan da bahsedecegiz.

Gorusmek uzere,

Murat