Windows sistemler uzerinde troubleshooting yaparken, özellikle network tarafıyla ilgili problemlerde network trace toplanması pek çok durumda problem çözümüne yardımcı olabiliyor.

İşte Windows 7 ve Windows 2008 R2 üzerinde bu tür network trace'ler toplamak şimdi çok daha kolay hem de hiç bir ek tool kurmaksizin sadece işletim sistemi içine entegre edilmiş olanaklar ile. Şimdi isterseniz bunun biraz daha detaylarina bakmaya çalışalım:

a) Network trace'in başlatılması:

Network trace toplanmasi icin yapmaniz gereken tek sey aşağıdaki komutu calistirmak: (Elevated command prompt'dan çalıştırılması gerekiyor)

c:\> netsh trace start capture=yes

Trace configuration:
-------------------------------------------------------------------
Status:             Running
Trace File:         C:\Users\Administrator\AppData\Local\Temp\NetTraces\NetTrace.etl
Append:            Off
Circular:            On
Max Size:          250 MB
Report:             Off

Yukaridaki şekilde network trace başlatıldıktan sonra, artık Windows 7 / Windows 2008 makineden dışarıya gonderilen ya da dışarıdan gelen tüm paketler NDIS driver'i icine entegre edilmis ETW tracing sayesinde capture edilip bir ETL dosyasi içine yazılacaktır.

Komut "netsh trace start capture=yes" formatında calistirildiginda su default ayarlar ile network traffic capture edilecektir:

- Maximum network trace boyutu 250 MB olacak ve trace dosyasi doldugunda, paketler, yeni paketler ile overwrite edilecektir
- Trace dosyasi "%LOCALAPPDATA%\Temp\NetTraces\NetTrace.etl" ismiyle yaratilacaktir.
- Herhangi bir filtre uygulanmadan tüm interface'lerdeki network trafik toplanacaktir.
- Istenirse, capture file boyutunu, dosyanin overwrite edilip edilmeyecegini, hangi interface'lerin monitor edilecegini, capture esnasinda bir filtre uygulanip uygulanmayacagini da ayarlamak mumkun. Tum bunlarin ne sekilde yapilabilecegi konusunda asagidaki komutu calistirarak daha fazla bilgi alabilirsiniz:

netsh trace show capturefilterhelp

 

b) Problemin tekrar oluşturulması:

Bu asamada yapmaniz gereken sey, tekrar problemi olusturmaktir. Ornegin bir share erisim problemi yasiyorsaniz, burada tekrar ayni share'e erismeye calisabilirsiniz ya da bir DHCP server'dan IP adres alma problemi yasiyorsaniz, client'i tekrar IP adres almaya zorlayabilirsiniz. Sonucta onemli olan, yasadiginiz sorunu trace başlatıldıktan sonra burada tekrarlamak.

 

c) Network trace'in durdurulmasi:

Problemi tekrar olusturduktan sonra cok fazla vakit gecirmeden network trace'i durdurmak uygun olacaktir. (Network trace'i mumkun oldugunca kucuk tutmak acisindan). Bu islemi "netsh trace stop" komutu ile yapabilirsiniz:

C:\>netsh trace stop
Correlating traces ... done
Generating data collection ... done
The trace file and additional troubleshooting information have been compiled as "C:\Users\Administrator\AppData\Local\Temp\NetTraces\NetTrace.cab".
File location = C:\Users\Administrator\AppData\Local\Temp\NetTraces\NetTrace.etl
Tracing session was successfully stopped.

Yukaridaki output'dan da dikkat edilecegi uzere, netsh komutu sadece network trace toplamakla kalmiyor, ayni zamanda makine ile ilgili bir cok detay bilgiyi de farkli text dosyalar icinde toplayip Nettrace.cab ismiyle compress edip gene "%LOCALAPPDATA%\Temp\NetTraces" folder'i icine koyuyor.

d) Network trace'in analizi

Son asamada toplanmis olan network trace'i analiz edebilmemiz icin nettrace.etl dosyasini convert etmemiz gerekecektir. Hem ETL dosyasini convert etmek hem de convert edilmis ETL dosyadan paketleri inceleyebilmek icin Network Monitor'u kullanabiliriz. Bunun icin asagidaki link'ten analizi yapacaginiz makineye Network Monitor'u kurabilirsiniz:

http://www.microsoft.com/downloads/details.aspx?FamilyID=983b941d-06cb-4658-b7f6-3088333d062f&displaylang=en
Microsoft Network Monitor 3.3

Onemli not: Yazimizin basinda da belirttigimiz gibi network trace'in toplanacagi makineye Network Monitor kurulmasi gerekmemektedir. Sadece toplanmis network trace'i nerede analiz edeceksek o makineye Network Monitor'u kurmamiz yeterli olacaktir.

Not: Network Monitor icinden, paketleri dogru gorebilmeniz icin Windows parser'larin "Full" durumunda olmasi gerekmektedir. Bu islemi Network Monitor icerisindeyken Tools > Options > Parser tabina gidip "Windows" satiri isaretliyken ust kisimdan "Stubs" butonuna tiklayarak yapabilirsiniz

parser1

 

Asagida da toplamis oldugumuz nettrace.etl dosyasinin Network Monitor icinden acilmis seklini gorebilirsiniz:

 

netmon1

 

Diger yazilarimizda Windows 7 ve Windows 2008 R2 ile birlikte gelen yeni tracing mekanizmalarindan da bahsedeceğiz.

Gorusmek uzere,

Murat