추적 관리를 위해 Netsh 사용하기
Windows에서, netsh.exe은(는) (명령 프롬프트에서) 네트워크 추적을 사용하도록 설정 및 구성이 가능합니다. 새 netsh trace 기능을 포함하는 추적 문제를 해결하기 위해 도움이 될 수 있는 몇 가지 netsh.exe 명령에 관해 이 섹션에서 설명합니다.
참고 항목
netsh 명령을 관리자 권한 명령 프롬프트에서 사용해야 합니다.
추적 수집
시나리오는 미리 정의된 추적 공급자 집합으로, 문제 해결을 위해 사용하도록 설정할 수 있습니다. netsh trace show scenarios를 입력하여 사용 가능한 네트워크 관련 시나리오 목록을 표시합니다(네트워킹과 관련이 없는 공급자를 포함하는 사용할 수 있는 모든 공급자를 netsh 추적 쇼 공급자가 나열합니다).
문제 관련 시나리오를 식별한 경우, 해당 시나리오에 포함되어 있는 모든 공급자 목록을 볼 수 있습니다. 예를 들어, netsh trace show scenario internetclient를 입력하면 InternetClient 시나리오에서 사용하도록 설정된 모든 공급자를 볼 수 있습니다.
모든 공급자에 대한 추적을 지정된 시나리오 또는 시나리오 집합에서 시작 가능합니다. 예를 들어, netsh trace start scenario=internetclient를 입력하면 InternetClient 시나리오에서 사용하도록 설정된 모든 공급자에 대한 추적을 시작할 수 있습니다. netsh trace start scenario=FileSharing scenario=DirectAccess와 같은 모든 적절한 시나리오를 지정하기 위해 둘 이상의 시나리오에 대한 공급자를 캡처할 수 있습니다. 한 번에 하나의 추적 세션만 사용하도록 설정 가능합니다. 별도의 파일에 동시에 서로 다른 공급자 집합의 추적 정보를 캡처할 수 없습니다.
또한 특정 시나리오에 포함되어 있지 않은 추가 공급자에 관한 추적을 시작할 수 있습니다. 예를 들어, WLAN 시나리오 및 DHCP 공급자에서 사용하도록 설정된 모든 공급자에 관한 추적을 시작할 수 있습니다. netsh trace start scenario=wlan provider=Microsoft-Windows-Dhcp-Client를 입력하여 이를 수행합니다.
또한 특정 공급자에 대한 더 자세한 정보를 확인하기 위해 공급자 이름을 입력한 후 netsh trace show provider를 입력할 수 있습니다.
netsh trace start /?를 입력하면 사용 가능한 모든 옵션 및 필터를 볼 수 있습니다.
netsh trace stop을 입력하면 적을 중지할 수 있습니다.
출력 파일 사용하기
추적 중지 시, 기본적으로 두 개의 파일인 ETL(이벤트 추적 로그) 파일 및 .cab 파일이 생성됩니다.
네트워크 모니터 등의 도구를 사용하여 볼 수 있는 ETL 파일에서 추적 이벤트가 수집됩니다. 기본적으로 ETL 파일의 이름은 nettrace.etl이지만, 추적 시작 시 tracefile=filename.etl 등의 다른 이름을 지정할 수 있습니다.
시스템의 소프트웨어 및 하드웨어에 대한 어댑터 정보, 빌드, 운영 체제 및 무선 설정 등의 풍부한 정보가 .cab 파일에 포함되어 있습니다. 위에 표시된 대로, 기본적으로 .cab 파일은 다른 이름을 지정하지 않는 한 nettrace.cab으로 이름이 지정됩니다.
이름이 같은 두 개의 파일이 항상 이 .cab 파일에 포함됩니다. nettrace.etl에 포함된 동일한 정보의 또 다른 복사본이 Report.etl입니다. 추적 이벤트 및 수집된 기타 정보에 관한 추가 정보가 report.html 파일에 포함됩니다. 추적 시작 시 report = yes 명령을 포함하면 사용 가능한 가장 자세한 정보를 받을 수 있습니다.
ETL 추적 파일의 데이터 양을 줄이기 위해 필터 사용하기
캡처가 오랜 시간 동안 발생하는 경우, ETL 추적 파일이 매우 커질 수 있습니다. 여러 공급자를 사용하도록 설정하는 경우, ETW 버퍼 제약 조건으로 인해 트래픽이 많은 시나리오에서는 일부 추적이 삭제될 수 있습니다. 이러한 고려 사항 외에도, 문제 해결을 더욱 쉽게 수행하기 위해 ETL 추적 파일의 데이터 양을 줄이면 검토할 데이터의 양을 줄일 수 있습니다.
ETL 추적 파일 크기를 줄이기 위해 Netsh 추적 필터를 사용할 수 있습니다. 개별 공급자에 적용 가능한 ETW 수준 및 키워드가 이러한 추적 필터입니다.
netsh trace start /?를 입력하면 적용할 수 있는 필터 목록을 볼 수 있습니다
netsh trace start InternetClient provider=Microsoft-Windows-TCPIP level=5 keywords=ut:ReceivePath,ut:SendPath는 필터의 예시입니다.
이러한 예시에서는 수준이 5로 설정됩니다. 따라서, 최대 이벤트 수가 표시됩니다. 사용 가능한 설정이 다음과 같은 표에 표시됩니다.
| 수준 | 설정 | 설명 |
|---|---|---|
| 1 | 위험 | 중요한 이벤트만이 표시됩니다. |
| 2 | Errors | 중요한 이벤트와 오류가 표시됩니다. |
| 3 | 경고 | 중요한 이벤트, 오류 및 경고가 표시됩니다. |
| 4 | 정보 제공 | 중요한 이벤트, 오류, 경고 및 정보 이벤트가 표시됩니다. |
| 5 | 자세한 정보 표시 | 모든 이벤트가 표시됩니다. |
ut:ReceivePath 및 ut:SentPath 키워드는 수신 또는 송신 경로에서 추적된 이벤트만 표시하기 위해 이벤트를 필터링합니다. 공급자 이름을 입력한 후 netsh trace show provider를 입력하여 특정 공급자에 대한 키워드의 전체 목록을 찾을 수 있습니다. 예를 들어, netsh trace show provider Microsoft-Windows-TCPIP를 입력하는 경우 키워드 목록을 포함하는 Microsoft-Windows-TCPIP 공급자 관련 정보가 표시됩니다.
또한 Netsh는 (capture = yes 설정을 통해) 패킷 캡처가 켜져 있는 경우 (네트워크 모니터와 유사한) 패킷 필터링 기능을 지원합니다. 제한된 수의 패킷을 추적 파일에서 캡처하기 위해 패킷 필터링을 사용할 수 있습니다. 예를 들어, netsh trace start capture = yes ipv4.address = x.x.x.x에 대해 살펴보면, 여기서 x.x.x.x는 IP 주소이고, 해당 특정 원본 또는 대상 주소가 있는 ipv4 트래픽이 있는 패킷만을 캡처합니다.
netsh trace show capturefilterHelp를 입력하여 패킷 필터링을 사용하는 방법에 대한 자세한 내용을 확인할 수 있습니다.