Auomtatically capturar e analisar o tráfego IP com netsh no Windows

Estou procurando capturar todo o tráfego IP em uma máquina Windows para / de todas as interfaces.

• Eu preciso capturar o ID do processo que gerou o tráfego de saída.
• Eu preciso ser capaz de acionar a captura a partir da linha de comando e analisar automaticamente o arquivo de captura em uma ferramenta externa.

Estou tentando usar netsh , que parece ser capaz de fazer o trabalho. No entanto, estou tendo problemas para descobrir como extrair as informações de que preciso.

A execução de netsh trace start persistent=yes capture=yes tracefile=xxx then netsh trace stop parece capturar as informações de que preciso. Se eu carregar o arquivo .etl gerado no Windows Message Analyzer (WMA), posso ver o tráfego IP junto com um lote de outras informações de evento

Meus problemas específicos são:

• Como faço para restringir netsh para capturar somente o tráfego IP?
• Como faço para analisar um arquivo etl sem uma ferramenta como o WMA?

Em relação à segunda questão. Eu consegui converter o arquivo etl em um arquivo xml (usando tracerpt ou netsh trace convert . No entanto, os dados parecem estar incompletos. Não consigo ver, por exemplo, um endereço IP que eu sei que o tráfego foi enviado para (confirmado em WMA). Possivelmente está tudo oculto em alguma bolha binária.