Как я могу сделать то же самое, что и «netsh trace start»? когда & quot; capture = yes & quot; указано при вызове EnableTraceEx2?

Я хочу перехватывать пакеты через ETW с помощью провайдера Microsoft-windows-TCPIP.

Когда я использую «netsh trace start capture = yes Provider = Microsoft-Windows-TCPIP» для захвата пакетов, я могу найти полезную нагрузку трафика TCP в файле etl.

Но если я не укажу ключевое слово capture = yes, я не смогу найти полезную нагрузку TCP-пакета в файле etl.

Затем я попытался с помощью API Win32 запустить трассировку для захвата трафика TCP. Я вызвал StartTrace и EnableTraceEx2, и я получил тот же результат, что и «netsh start trace», в котором не указано ключевое слово capture = yes и нет полезной нагрузки TCP-пакета в файле etl.

Я хочу знать, что сделал netsh, когда указано «capture = yes», и что я должен сделать, чтобы сделать то же самое, что и netsh, когда «capture = yes» указано при вызове Win32 API.

Спасибо.