Når du må kjøre network trace på en server …

Her om dagen måtte jeg ha en network trace på en server. Serveren var i produksjon, og den ansvarlige for serveren var ikke direkte begeistret over å kjøre network trace på den. Jeg spurte hvorfor, og fikk til svar at han ikke likte å installere Wireshark (winpcap) eller Netmon på en server i produksjon.

Det kunne jeg jo skjønne, og var fornøyd jeg kunne vise en av Windows Server 2008 R2 (og Windows 7) nye funksjoner – du kan faktisk ta en network trace uten å installere noe som helst.

Du starter en trace ved å kjøre følgende kommando:

netsh trace start capture=yes

 image

Du stopper denne trace ved å kjøre

netsh trace stop

image

Du har nå en fil med filendelsen ETL. Denne fila kan du åpne i Network Monitor 3.2 eller nyere.

DU kan også sette opp en slik trace til å fungere under boot ved å gjøre den persistent.

netsh trace start capture=yes persistent=yes

Med andre ord, det er ingen grunn til å installere “ekstra” verktøy på serverne dine for å ta en network trace – du kan styre alt dette via netsh kommandoen.

For mer informasjon om dette kan du se http://blogs.technet.com/b/netmon/archive/2009/05/13/event-tracing-for-windows-and-network-monitor.aspx