Öncelikle pktcap-uw tool’unun Esxi 5.5 sürümü ile beraber geldiğini belirtmekte fayda var. Tcpdump aracı ile arasındaki en önemli farklar.

• pktcap-uw tool’u sanal sunucu adaptörü, VMkernel adaptörü  ve fiziksel network kartının adaptörlerini capture edebiliyor.
• pktcap-uw aracı ile port input ve port output olarak ayrı capture alabiliyorsunuz.

Örnek olarak vmk portu üzerindeki trafiği capture almak için. Öncelikle varolan portları listeliyoruz. Bunun için aşağıdaki komutu kullanabilirsiniz.

esxcfg-vmknic -l

Listeden dinlemek istediğimiz portu seçiyoruz. Ben vmk0 üzerindeki trafiği analiz edeceğim. Bu nedenle –vmk komutuna kendi vmkernal ismini yazabilirsiniz. -o parametresi output anlamına geliyor. Buradaki paketi hangi path’e yazacağımızı belirtiyoruz.

pktcap-uw –vmk vmk0 -o /tmp/ozgur.pcap

ctrl+c tuşlarına basarakdilediğiniz zaman capture işlemini sonlandırabilirsiniz.

Dosyayı almak için sftp ile ESX sunucuya bağlanacağız. Filezilla ile bağlanmak için sftp://sunucuip adresini yazarak erişim sağlayabilirsiniz. /tmp dizin altında vermiş olduğunu ismi bilgisayarınıza indirerek incelemeniz mümkün. Sonrasında wireshark programı ile analizi yapabilirsiniz.