Pliki diagnostyki sieci Windows (Netlog.etl, WifiDiag.etl): Jak analizować problemy z połączeniem i wydajnością Wi-Fi?

Pliki Netlog.etl i WifiDiag.etl to prawdziwe złoto dla każdego, kto zmaga się z niestabilnym połączeniem sieciowym lub problemami z Wi-Fi w Windows. Zamiast bezmyślnie restartować router, te systemowe logi pozwalają zanurkować głębiej i zrozumieć, dlaczego Twoje połączenie działa wolno, zrywa się, albo w ogóle nie chce nawiązać. To nic innego jak obszerne zapisy zdarzeń sieciowych i diagnostycznych, które system Windows generuje, aby pomóc w dokładnej analizie problemów z połączeniem, wydajnością czy roamingiem sieci bezprzewodowych.

Co to za pliki i gdzie je znaleźć?

Zacznijmy od tego, co to dokładnie jest. ETL (Event Trace Log) to specjalny format plików dziennika, używany przez system Windows do rejestrowania zdarzeń śledzenia w czasie rzeczywistym, szczególnie w kontekście ETW (Event Tracing for Windows). Plik Netlog.etl zbiera ogólne dane dotyczące działania sieci, w tym zdarzenia związane z protokołami, sterownikami i usługami sieciowymi. WifiDiag.etl jest jego bardziej wyspecjalizowanym kuzynem, skupiającym się wyłącznie na diagnostyce sieci Wi-Fi – od siły sygnału, przez autoryzację, po problemy z roamingiem między punktami dostępu.

Oba pliki znajdziesz zazwyczaj w katalogach systemowych. Ich główna lokalizacja to przeważnie `%SystemRoot%\System32\wdi\LogFiles`, ale mogą być też tworzone tymczasowo w innych miejscach, np. w folderach użytkownika (`%LOCALAPPDATA%\Microsoft\Network\Logs`) podczas aktywnej sesji diagnostycznej uruchomionej przez narzędzia systemowe. Tworzy je i wykorzystuje głównie infrastruktura diagnostyczna Windows (WDI) oraz usługi takie jak WLAN AutoConfig czy Network Diagnostics, które monitorują stan sieci i rejestrują wszelkie nieprawidłowości.

Do czego służą pliki Netlog.etl i WifiDiag.etl?

W praktyce, te pliki to kompleksowe zapisy aktywności sieciowej Twojego komputera. `Netlog.etl` może zawierać informacje o błędach DNS, problemach z DHCP, utraconych pakietach, błędach protokołów i ogólnych zdarzeniach na interfejsach sieciowych. `WifiDiag.etl` idzie o krok dalej – to skarb dla diagnostyki Wi-Fi. Znajdziesz tam szczegóły o próbach połączenia, statusie uwierzytelniania (np. dlaczego sieć odrzuca Twoje hasło), zmianach kanału, sile sygnału RSSI (czyli jak mocno Twój komputer „słyszy” router) w różnych momentach, a nawet o procesach roamingu, czyli przełączania się między różnymi punktami dostępu w tej samej sieci. U mnie, gdy klient zgłosił, że „Wi-Fi co chwilę zrywa”, okazało się, że logi w `WifiDiag.etl` pokazały notoryczne re-autoryzacje co około 5 minut, co jasno wskazywało na problem z serwerem RADIUS, a nie z samym routerem czy laptopem. Bez tych logów straciłbym dużo więcej czasu na szukanie przyczyny.

Czy to wirus? Czy można je usunąć i co się stanie?

Absolutnie nie! Pliki `Netlog.etl` i `WifiDiag.etl` to legalne, wbudowane narzędzia diagnostyczne Windows. Nie są to wirusy, trojany ani żadne złośliwe oprogramowanie. Ich obecność jest normalna i świadczy o tym, że system monitoruje swoją pracę.

Czy można je usunąć? Technicznie tak, ale z pewnymi zastrzeżeniami. Jeśli spróbujesz je usunąć, gdy system aktywnie ich używa (czyli trwa sesja śledzenia), możesz napotkać błędy uprawnień lub informację, że plik jest używany. Jeśli jednak uda Ci się je usunąć (np. po zrestartowaniu systemu lub zatrzymaniu sesji śledzenia), system po prostu utworzy je ponownie, gdy zajdzie taka potrzeba, na przykład przy kolejnej sesji diagnostycznej. Co się stanie? Stracisz historyczne dane diagnostyczne, które mogłyby być przydatne w przyszłej analizie problemów. Sam system będzie działał bez problemu.

Warto wiedzieć, że często są one oznaczone jako pliki systemowe lub tylko do odczytu (read-only). Dlaczego? System robi to, aby chronić integralność danych. Wyobraź sobie, że podczas zbierania kluczowych danych diagnostycznych plik zostanie zmodyfikowany lub usunięty – zebrane informacje byłyby bezużyteczne. To zabezpieczenie przed przypadkowymi zmianami, które mogłyby zafałszować wyniki diagnostyki.

Typowe problemy i błędy związane z tymi plikami

Jednym z najczęstszych problemów, z którymi się spotkałem, jest rozmiar tych plików. `Netlog.etl`, szczególnie po długiej sesji śledzenia, potrafi urosnąć do kilkuset megabajtów, a nawet gigabajtów. To normalne, ale może zająć sporo miejsca na dysku, jeśli zapomnisz zatrzymać śledzenie. Innym kłopotem jest ich analiza. Nie otworzysz ich po prostu notatnikiem. Wymagają specjalistycznych narzędzi, takich jak systemowa Podgląd zdarzeń (Event Viewer) z odpowiednią konfiguracją lub, co znacznie lepiej, polecenie `netsh trace convert` do konwersji na czytelniejszy format (np. XML) albo starsze narzędzia jak Microsoft Message Analyzer (niestety już wycofany). Często też napotykałem na problemy z uprawnieniami podczas próby ich skopiowania lub przeniesienia – to typowe dla plików systemowych, wymagające uprawnień administratora. Ważne jest też, że jeśli nie uruchomiłeś śledzenia *przed* wystąpieniem problemu, plik będzie zawierał tylko późniejsze dane, co utrudnia zdiagnozowanie pierwotnej przyczyny. U mnie pierwszy raz kiedy próbowałem otworzyć taki plik, myślałem że coś jest zepsute, bo nic nie widziałem. Dopiero po użyciu `netsh trace` i wskazaniu odpowiedniego pliku, zobaczyłem sensowne dane.

Jak analizować pliki ETL? (Praktyczne wskazówki)

Analiza tych plików wymaga kilku kroków.

• Uruchomienie śledzenia: Zanim wystąpi problem, otwórz wiersz polecenia jako administrator i uruchom: `netsh trace start persistent=yes capture=yes overwrite=yes report=no traceFile=C:\Logs\NetworkTrace.etl scenario=NetConnection,WLAN_Diag,NDIS,InternetClient,L2Connection`. Możesz dostosować scenariusze (np. `scenario=WLAN_Diag` dla samego Wi-Fi). `persistent=yes` sprawi, że śledzenie przetrwa restart.
• Zatrzymaj śledzenie: Po wystąpieniu problemu i zebraniu danych, zatrzymaj śledzenie: `netsh trace stop`. System wygeneruje plik `.etl` oraz dodatkowe pliki `.cab` z raportami.
• Konwersja: Plik `.etl` można konwertować do czytelniejszego formatu. Często samo zatrzymanie `netsh trace stop` wygeneruje dla Ciebie ładny plik `.cab` z raportami HTML i XML, który jest znacznie łatwiejszy do odczytania niż surowy ETL. Jeśli chcesz sam konwertować, użyj np.: `netsh trace convert .etl out=.xml`.
• Analiza: Otwórz wygenerowany plik XML lub HTML w przeglądarce. Szukaj słów kluczowych takich jak „Error”, „Failed”, „Disconnected”, „Authentication”, „RSSI” (dla siły sygnału), „packet loss”. Zwróć uwagę na znaczniki czasu, aby powiązać zdarzenia z momentem wystąpienia problemu. U mnie, jak wspomniałem, szukałem cyklicznych zdarzeń re-autoryzacji i od razu wiedziałem, gdzie szukać problemu. Zawsze aktywnie zbieraj te logi, gdy tylko podejrzewasz problem z siecią, a zobaczysz, o ile szybciej rozwiążesz zagadkę.

Najczęstsze pytania

Czy pliki .etl mogą spowolnić mój komputer?

Samo istnienie tych plików nie spowalnia komputera. Aktywne śledzenie sieciowe, zwłaszcza z wieloma scenariuszami, może zużywać minimalne zasoby systemowe, ale zazwyczaj jest to niezauważalne dla większości użytkowników.

Czy mogę bezpiecznie usunąć stare pliki .etl, aby zwolnić miejsce?

Tak, możesz bezpiecznie usunąć stare pliki .etl, jeśli nie planujesz ich analizować. Windows automatycznie je odtworzy, gdy będzie potrzebował zebrać nowe dane diagnostyczne, nie powodując problemów z działaniem systemu.