Como usar o Netsh para gerenciar rastreamentos
No Windows, netsh.exe pode ser usado (em um prompt de comando) para habilitar e configurar rastreamentos de rede. Esta seção descreve alguns dos comandos netsh.exe que podem ajudar na solução de problemas de rastreamento, incluindo a nova funcionalidade netsh trace.
Observação
Você deve executar os comandos netsh com privilégios de comando elevados.
Coletando rastreamentos
Cenários são conjuntos predefinidos de provedores de rastreamento que podem ser habilitados para solução de problemas. Para exibir a lista de cenários relacionados à rede disponíveis, digite netsh trace show scenarios (netsh trace show providers lista cada um dos provedores disponíveis, incluindo aqueles que não são relevantes para a rede).
Depois de identificar um cenário que parece relevante para seus problemas, você pode ver uma lista de todos os provedores incluídos nesse cenário. Por exemplo, para ver todos os provedores habilitados no cenário InternetClient, digite netsh trace show scenario internetclient.
Você pode iniciar um rastreamento para todos os provedores em um determinado cenário ou conjunto de cenários. Por exemplo, para começar um rastro para todos os provedores habilitados no cenário InternetClient, digite netsh trace show scenario internetclient. Para capturar provedores para mais de um cenário, você pode especificar todos os cenários apropriados, como netsh trace start scenario=FileSharing scenario=DirectAccess. Observe que apenas uma sessão de rastreamento pode ser habilitada por vez; não é possível capturar simultaneamente informações de rastreamento de diferentes conjuntos de provedores em arquivos separados.
Você também pode iniciar um rastreamento para provedores adicionais não incluídos nesse cenário específico. Por exemplo, talvez você queira iniciar rastreamentos para todos os provedores habilitados no cenário de WLAN e também para o provedor DHCP. Para fazer isso, digite netsh trace start scenario=wlan provider=Microsoft-Windows-Dhcp-Client.
Você também pode ver mais detalhes sobre um provedor específico digitando netsh trace show provider seguido pelo nome do provedor.
Para ver todas as opções e filtros disponíveis, você pode digitar netsh trace start /?.
Para interromper o rastreamento, digite netsh trace stop.
Usando os arquivos de saída
Quando o rastreamento é interrompido, dois arquivos são gerados por padrão: um arquivo ETL (Log de Rastreamento de Eventos) e um arquivo .cab.
Os eventos de rastreamento são coletados no arquivo ETL, que pode ser exibido usando ferramentas como o Monitor de Rede. O arquivo ETL será nomeado nettrace.etl por padrão, ou você pode especificar um nome diferente incluindo tracefile=filename.etl ao iniciar o rastreamento.
O arquivo .cab contém informações valiosas sobre o software e o hardware do sistema, como informações do adaptador, compilação, sistema operacional e configurações sem fio. O arquivo .cab será nomeado nettrace.cab por padrão, a menos que outro nome tenha sido especificado conforme indicado acima.
Este arquivo .cab conterá dois arquivos, que sempre terão o mesmo nome. Report.etl é outra cópia das mesmas informações incluídas em nettrace.etl. O arquivo report.html inclui informações adicionais sobre os eventos de rastreamento e as outras informações coletadas. Para receber a maioria dos detalhes disponíveis, inclua o comando report = yes ao iniciar um rastreamento.
Usando filtros para reduzir a quantidade de dados no arquivo de rastreamento ETL
Quando as capturas acontecem por um longo período de tempo, o arquivo de rastreamento ETL pode se tornar muito grande. Em cenários em que vários provedores estão habilitados, resultando em alto tráfego, as restrições de buffer ETW podem fazer com que alguns rastreamentos sejam descartados. Além dessa consideração, reduzir a quantidade de dados no arquivo de rastreamento ETL pode ajudar a facilitar a solução de problemas, reduzindo a quantidade de dados a serem revisados.
Os filtros de rastreamento Netsh podem ser usados para reduzir o tamanho do arquivo de rastreamento ETL. Esses filtros de rastreamento são níveis de ETW e palavras-chave que podem ser aplicados a provedores individuais.
Para ver uma lista de filtros que podem ser aplicados, digite netsh trace start /?
Um exemplo de filtro é netsh trace start InternetClient provider=Microsoft-Windows-TCPIP level=5 keywords=ut:ReceivePath,ut:SendPath.
Neste exemplo, o nível é definido como 5, o que significa que o número máximo de eventos será mostrado. A seguinte tabela mostra os estilos disponíveis:
| Nível | Configuração | Descrição |
|---|---|---|
| 1 | Crítico | Somente eventos críticos serão mostrados. |
| 2 | Errors | Eventos críticos e erros serão mostrados. |
| 3 | Warnings | Eventos críticos, erros e avisos serão mostrados. |
| 4 | Informativo | Eventos críticos, erros, avisos e eventos informativos serão mostrados. |
| 5 | Detalhado | Todos os eventos serão mostrados. |
As palavras-chave ut:ReceivePath e ut:SentPath filtram os eventos para mostrar apenas os eventos rastreados no caminho de recebimento ou envio. Uma lista completa de palavras-chave para um provedor específico pode ser encontrada digitando netsh trace show provider seguido pelo nome do provedor. Por exemplo, digitar netsh trace show provider Microsoft-Windows-TCPIP exibirá informações sobre o provedor Microsoft-Windows-TCPIP, incluindo uma lista de palavras-chave.
O Netsh também dá suporte ao recurso de filtragem de pacotes (semelhante ao Monitor de Rede) quando a captura de pacotes está ativada (definindo capture = yes). A filtragem de pacotes pode ser usada para capturar um número limitado de pacotes em um arquivo de rastreamento. Por exemplo, netsh trace start capture = yes ipv4.address = x.x.x.x, onde x.x.x.x é o endereço IP, capturará apenas pacotes com tráfego ipv4 com esse endereço de origem ou destino específico.
Para obter informações adicionais sobre como usar a filtragem de pacotes, você pode digitar netsh trace show capturefilterHelp.