Descripción de la utilidad de captura de Monitor de red

Resumen

Este artículo describe cómo usar la utilidad Network Monitor Capture (Netcap.exe) que puede utilizar para capturar el tráfico de red en el Monitor de red.

Más información

Netcap proporciona capacidades de captura únicamente desde el símbolo del sistema; Para abrir los archivos de captura (.cap) resultantes, debe utilizar la interfaz completa del Monitor de red.

Netcap se instala al instalar las herramientas de soporte que se encuentran en el CD-ROM de Windows XP.

Para obtener información adicional acerca de cómo instalar estas herramientas, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

306794 cómo instalar las herramientas de soporte desde el CD de Windows XP
Monitor de red se proporciona con los productos de Windows Server y Microsoft Systems Management Server (SMS).

Netcap proporciona capacidades de captura son similares a la versión del Monitor de red que se incluye con los productos de Windows Server; Sin embargo, debe utilizar Netcap en un símbolo del sistema. Netcap instala al controlador del Monitor de red y lo enlaza a todos los adaptadores cuando ejecuta el comando Netcap por primera vez.

La sintaxis completa de Netcap es la siguiente sintaxis:

 Usage: NetCap.exe [/B:#] [/T <Type> <Buffer> <HexOffset> <HexPattern>]
[/F:<filterfile.cf>] [/C:<capture file>] [/N:#]
[/L:HH:MM:SS] [/TCF:<Folder Name>]

Example: NetCap /B:20 /N:2 /T BP 100 0a ff1f /F:d:\IPFilter.CF

/B:# - Buffer, capture size to take, from 1MB to 1000MB default is 1Mb

/T - Trigger, stop capturing when the given buffer and/or pattern is reached
If no trigger is given, the capture will stop when the buffer is full
Use "/T N" to continue capturing even if the buffer fills
Oldest frames in capture will be over written once the buffer is full
Note: With "/T N" you will have to hit space bar to stop capturing

<Type> - 'B' = buffer, 'P' = Pattern, 'BP' = Buffer then Pattern,
'PB' = Pattern then Buffer 'N' = No Trigger

<Buffer> - % Buffer Size '25', '50', '75', '100' used with
B, BP, PB (NOT P)

<HexOffset> - Hex Offset from start of frame used with P, BP, PB (NOT B)

<HexPattern>- Hex Pattern to match used with P, BP, PB (NOT B)
The Pattern must be an even number of hex digits

/C:<Capture File> - Move temporary capture to full path and/or file name
This can be any valid local or remote path
If "/C" is not specified the capture file will remain
in the default temporary capture folder

/F:<filterfile.cf>- A Network Monitor 2.x generated capture filter (*.cf)

/L:<HH:MM:SS> - Capture for given amount of time (max 99:99:99)
Note: This option overrides the default 100% trigger
unless "/T <trigger type>" is also specified

/TCF:<Folder Name>- Permanently changes the temporary capture folder
Warning the path must be on a fixed local hard drive
Once set you only need to use the switch again
to change the directory

/Remove - Removes the NetCap instance of the Network Monitor driver

/N:<#> - NIC Index number, for this computer

Para determinar el número de índice de network interface card (NIC), puede utilizar el netcap /? comando. En la información de sintaxis, puede ver una lista de los adaptadores instalados en el equipo. En esta lista, puede seleccionar el adaptador correcto para la captura. Por ejemplo, si desea capturar el tráfico de una conexión de marcado telefónico en un equipo con los adaptadores siguientes, utilice 0 como índice NIC:

 Use the following index numbers for these adapters:
(default) 0 = ETHERNET (2C3D20524153) WAN (PPP/SLIP) Interface
1 = ETHERNET (000039139635) Local Area Connection 2
2 = ETHERNET (0000390E118E) Local Area Connection

Los siguientes comandos son ejemplo de Netcap:

  • Para capturar el tráfico en NIC 1 utilizando un búfer de 10 megabytes (MB), utilice el siguiente comando:
    Netcap /n:1 /b:10
  • Normalmente, Netcap deja capturar cuando el búfer está lleno. Para capturar el tráfico con almacenamiento en búfer "Primero en primera en salir" (FIFO), que es el valor predeterminado para el Monitor de red, puede utilizar el siguiente comando:

    Netcap /t n
    Tenga en cuenta que si desea detener la captura, presione la barra espaciadora.
  • Para capturar el tráfico de una hora mediante un búfer FIFO de 1 MB, utilice el siguiente comando:
    Netcap /L:01:00:00
  • Para quitar el controlador del Monitor de red, utilice el comando siguiente:
    Netcap Remove
Archivos de captura que cree utilizando Netcap se colocan en el perfil de usuario\Local Settings\Temp, de forma predeterminada, donde el perfil de usuario es el nombre del perfil de usuario. Puede cambiar la carpeta predeterminada utilizando los modificadores de la /c o/tcf .

Para obtener información adicional acerca de cómo capturar el tráfico de red o los conceptos o términos que se utilizan en este artículo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

148942 cómo capturar el tráfico de red con Monitor de red
Propiedades

Id. de artículo: 310875 - Última revisión: 22 ene. 2017 - Revisión: 2

Comentarios