Wireshark をシステムにインストールせずに、ネットワークパケットのキャプチャやトレースを取得したい。

"netsh" コマンドを使用して、パケットキャプチャを生成し、再起動時に継続させることができます。

1. [管理者として実行] オプションを使用して、管理車権限でコマンドプロンプトを起動します。
2. 以下のコマンドを入力し、Enter キーを押します (注：以下のコマンドでは、ファイルの場所とサイズを変更できます)
   

   netsh trace start capture=yes report=yes tracefile=C:\temp\tracefile.etl persistent=yes maxsize=250

3. トレース設定は以下のように表示されます
   

   C:\Windows\system32>netsh trace start capture=yes report=yes tracefile=C:\temp\tracefile.etl persistent=yes
   
   トレース構成:
   -------------------------------------------------------------------
   ステータス:           実行中
   トレース ファイル:    C:\temp\tracefile.etl
   追加:                 オフ
   循環:                 オン
   最大サイズ:           250 MB
   レポート:             オン
   
   C:\Windows\system32>

4. トレースを停止するには、管理者権限でコマンドプロンプトを起動して "netsh trace stop" と入力します。Tracefile.cab と tracefile.etl の 2 つのファイルが作成されます。ファイル名と場所は、データ収集終了後、コマンドプロンプトウィンドウに表示されます。
5. ファイルを圧縮し、サポートケースにアップロードしてください。

Etl2Pcapng を使用すると、Wireshark で読み込める pcap ファイルに変換できます。

以下のマイクロソフト社のリンクに詳細があります。

• Capture a Network Trace without installing anything (& capture a network trace of a reboot)
• Converting ETL Files to PCAP Files

[英語文書] Capture a network trace without installing Wireshark