ちょっと仕事でwindowsサーバーで動く商用のシステムからhttpsのクエリストリングとか調べてよ！って言われてどーすんのよこれって思って調べながらやってみたので、メモレベルで残す

前提条件

• powershellが動かせる環境があること
• windowsサーバ自体には管理者権限でアクセスできること

パケットキャプチャ

netshコマンドを使う - 開始

netsh trace start capture=yes

• 終了

netsh trace stop

コマンドそれぞれで結構時間がかかる
デフォルトだと以下のパスに出来上がる。

C:\Users\<ユーザー名>\AppData\Local\Temp\NetTraces\NetTrace.etl

pcapに変換

github上とかにも結構ある。自分はこれを使ってpowershellで変換した。

tsharkで確認

wireshearkがGUIで使える環境があればいいが、tsharkならGUIで確認することができる。

tshark -r <filename> 

でパケットを確認することができる。