windows:system:capture_reseau_sans_wireshark

Faire une capture réseau sans installer Wireshark

Il est pratique d'enregistrer une trace wireshark pour l'utiliser à des fins de debug, par contre il n'est pas toujours pratique de devoir installer wireshark et winpcap sur l'ordinteur en question.

Windows permet de faire des captures réseau nativement à partir de Windows 7 et son équivalent Windows Server 2008 R2:

Ouvrez une invite de commande ou un shell PowerShell en admin puis entrez la commande suivante:

netsh trace start capture=yes tracefile=c:\temp\trace.etl

si vous voulez capturer l'activité réseau durant le démarrage, rajoutez persistent=yes dans la commande ci-dessus, vous pourrez ainsi redémarrer l'ordinateur sans interrompre la capture.

pour arrêter votre capture, entrez:

netsh trace stop

Récupérez ensuite le fichier ETL, qu'il vous faudra maintenant convertir à l'aide de ETL2PCAPNG afin de le transformer en fichier pcapng lisible par Wireshark notamment, comme ceci :

Etl2pcapng.exe trace.etl trace-wireshark.pcapng
  • windows/system/capture_reseau_sans_wireshark.txt
  • Dernière modification: 2020/01/29 19:20
  • de kdmin