網路監視器擷取公用程式的說明

Windows XP 支援已結束

Microsoft 於 2014 年 4 月 8 日結束對 Windows XP 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

本文曾發行於 CHT310875
本文已封存。本文係以「現狀」提供且不會再更新。
結論
本文說明如何使用「網路監視器擷取公用程式」(Netcap.exe),您可以用此公用程式來擷取「網路監視器」(Network Monitor) 中的網路流量資訊。
其他相關資訊
Netcap 提供的擷取功能只能從命令提示字元執行;如果要開啟結果的擷取檔案 (.cap),您必須使用完整的網路監視器介面。

Netcap 是在您安裝 Windows XP CD-ROM 上的支援工具時安裝的。

如需如何安裝這些工具的詳細資訊,請按一下下列文件編號,檢視 Microsoft Knowledge Base 中的文件:
306794 How to Install the Support Tools from the Windows XP CD-ROM
Windows 伺服器產品以及 Microsoft Systems Management Server (SMS) 中隨附有網路監視器。

Netcap 提供的擷取功能類似 Windows 伺服器產品所隨附之網路監視器版本的擷取功能;然而,您必須在命令提示字元下使用 Netcap。當您第一次執行 Netcap 命令時,Netcap 會安裝網路監視器驅動程式並將此驅動程式連結至所有配接卡。

Netcap 的完整語法如下所示:
 Usage: NetCap.exe [/B:#] [/T <Type> <Buffer> <HexOffset> <HexPattern>]                   [/F:<filterfile.cf>] [/C:<capture file>] [/N:#]                   [/L:HH:MM:SS] [/TCF:<Folder Name>] Example: NetCap /B:20 /N:2 /T BP 100 0a ff1f /F:d:\IPFilter.CF /B:# - Buffer, capture size to take, from 1MB to 1000MB default is 1Mb /T   - Trigger, stop capturing when the given buffer and/or pattern is reached        If no trigger is given, the capture will stop when the buffer is full        Use "/T N" to continue capturing even if the buffer fills        Oldest frames in capture will be over written once the buffer is full        Note: With "/T N" you will have to hit space bar to stop capturing       <Type>      - 'B' = buffer, 'P' = Pattern, 'BP' = Buffer then Pattern,                     'PB' = Pattern then Buffer 'N' = No Trigger       <Buffer>    - % Buffer Size '25', '50', '75', '100' used with                     B, BP, PB (NOT P)       <HexOffset> - Hex Offset from start of frame used with P, BP, PB (NOT B)       <HexPattern>- Hex Pattern to match used with P, BP, PB (NOT B)                     The Pattern must be an even number of hex digits /C:<Capture File> - Move temporary capture to full path and/or file name                     This can be any valid local or remote path                     If "/C" is not specified the capture file will remain                     in the default temporary capture folder /F:<filterfile.cf>- A Network Monitor 2.x generated capture filter (*.cf) /L:<HH:MM:SS>     - Capture for given amount of time (max 99:99:99)                     Note: This option overrides the default 100% trigger                     unless "/T <trigger type>" is also specified                     /TCF:<Folder Name>- Permanently changes the temporary capture folder                     Warning the path must be on a fixed local hard drive                     Once set you only need to use the switch again                     to change the directory /Remove           - Removes the NetCap instance of the Network Monitor driver /N:<#>            -- NIC Index number, for this computer
如果要判斷網路介面卡 (NIC) 的索引編號,您可以使用netcap /?命令。在此語法資訊下,您可以檢視安裝在電腦上的配接卡清單。從這個清單中,您可以選取要進行擷取的正確配接卡。例如,如果您想要以下列配接卡擷取電腦上撥號連線的流量資訊,請使用 NIC 索引 0:
 Use the following index numbers for these adapters: (default) 0 = ETHERNET (2C3D20524153) WAN (PPP/SLIP) Interface           1 = ETHERNET (000039139635) Local Area Connection 2           2 = ETHERNET (0000390E118E) Local Area Connection
下列是 Netcap 命令的範例:
  • 如果要使用 10 MB 的緩衝區來擷取 NIC 1 BY 上的流量資訊,請使用下面命令:
    netcap /n:1 /b:10
  • Netcap 一般會在緩衝區填滿時停止擷取。如果要以「先進先出」(FIFO) 的緩衝處理方式來擷取流量 (這是網路監視器的預設值),您可以使用下面命令:
    netcap /t n
    請注意,如果您要停止擷取,請按空格鍵。
  • 如果要使用 1-MB FIFO 的緩衝區來擷取流量一個小時,請使用下面命令:
    netcap /L:01:00:00
  • 如果要移除網路監視器驅動程式,請使用下面命令:
    netcap /remove
根據預設值,使用 Netcap 所建立的擷取檔案是位於UserProfile\Local Settings\Temp 資料夾中,其中UserProfile是使用者設定檔的名稱。您可以使用/c/tcf參數來變更預設的資料夾。

如需如何擷取網路流量或有關本文中所使用之概念或名詞的詳細資訊,請按一下下列的文件編號,檢視 Microsoft Knowledge Base 中的文件:
148942 如何使用網路監視器擷取網路流量
参考
本文件是根據 Microsoft Knowledge Base 文件編號 Q310875 翻譯的。若要參考原始英文文件內容,請至以下網址:

netmon
內容

文章識別碼:310875 - 最後檢閱時間:12/07/2015 08:03:50 - 修訂: 1.0

Microsoft Windows XP Home Edition (家用版), Microsoft Windows XP Professional Edition (商用版)

  • kbnosurvey kbarchive kbinfo KB310875
意見反應