Автоматически захватывать и анализировать IP-трафик с помощью netsh в Windows

Я пытаюсь перехватить весь IP-трафик на машине Windows со всех интерфейсов.

• Я должен быть в состоянии захватить идентификатор процесса, который генерировал исходящий трафик.
• Мне нужно иметь возможность инициировать захват из командной строки и автоматически анализировать файл захвата во внешнем инструменте.

Я пытаюсь использовать netsh, который, кажется, в состоянии сделать работу. Однако у меня возникают проблемы с выяснением, как извлечь нужную мне информацию.

Бег netsh trace start persistent=yes capture=yes tracefile=xxx затем netsh trace stop кажется, чтобы захватить информацию, которая мне нужна. Если я загружаю сгенерированный файл.etl в Windows Message Analyzer (WMA), я вижу IP-трафик и много другой информации о событиях.

Мои конкретные проблемы:

• Как мне ограничить netsh захватывать только IP-трафик?
• Как мне разобрать файл etl без такого инструмента, как WMA?

По поводу второго вопроса. Мне удалось преобразовать файл etl в файл xml (используя tracerpt или же netsh trace convert, Однако данные представляются неполными. Я не вижу, например, IP-адрес, на который я знаю, что трафик был отправлен (подтверждено в WMA). Возможно, все это спрятано в каком-то двоичном блобе.