Wow, tohle jsem nevěděl. Ve Windows 7 a Windows Serveru 2008 R2 je rozšířena funkcionalita Netsh.exe o příkaz trace. Lze tak zachytávat síťový provoz i bez nainstalovaného Netmonu. Navíc nedochází k žádnému přerušení síťových spojení, paráda.

netsh trace start capture=yes CaptureMultiLayer=yes CaptureInterface=”NIC4virtuals” tracefile=c:\temp\mujcap.etl

Odklepnu a okamžitě se začne zachytávat provoz. Stopnutí se provede takto:

netsh trace stop

Aby toho v logu nebylo moc, mohu do spouštěcího příkazu doplnit ještě filtry typu Ethernet.Address= nebo IPv4.Address=. To je hodně dobrý.

Podrobné zdroje:

Using Netsh to Manage Traces

Netsh Commands to Network Trace in Windows Server 2008 R2 and Windows 7