Partager via

Comment afficher une trace ETW USB dans Netmon

  • Article

Cet article explique comment afficher un fichier de trace d’événements à l’aide de Netmon.

Après avoir installé Netmon et l’avoir configuré pour une utilisation avec des fichiers ETW USB, comme décrit dans Comment installer Netmon et les analyseurs ETW USB, vous pouvez l’utiliser pour examiner un fichier de trace.

Ouverture d’un fichier ETW

Pour afficher un fichier de trace dans Netmon, dans l’écran d’accueil, tapez « netmon » pour ouvrir Netmon. Ouvrez le fichier de trace à l’aide de l’une des méthodes suivantes :

  • Dans le menu Fichier , cliquez sur Ouvrir, sur Capturer, puis sélectionnez le fichier .etl.
  • Cliquez sur le bouton Ouvrir la capture et sélectionnez le fichier .etl.
  • Appuyez sur Ctrl+O et sélectionnez le fichier .etl.

Une trace d’événements est composée d’événements individuels, chacun d’entre eux indiquant un événement qui s’est produit dans la pile des pilotes. Chaque événement est conforme à l’un des types définis par la pile de pilotes.

Capture d’écran montrant la fenêtre « Netmon » avec un événement sélectionné dans le « Résumé du cadre ».

Notez que les événements sont répertoriés dans le volet Résumé du cadre . L’image précédente montre les paires de la pile de pilotes USB 2.0. Notez les colonnes suivantes dans ce volet :

  • Décalage d’heure : horodatage de l’événement, spécifié comme décalage par rapport à l’heure de début du journal.
  • Nom du protocole : pilote qui a enregistré l’événement. Pour les événements USB, le pilote est hub USB ou port USB.
  • Description : nom descriptif de l’événement.

Sélectionnez un événement dans le volet Résumé du cadre . Netmon affiche les détails de l’événement dans les volets Détails du cadre et Détails hexadécimaux . Dans le volet Détails du cadre , développez les éléments pour examiner les détails de l’événement. Pour obtenir un exemple d’utilisation de Netmon pour examiner un fichier de trace USB, consultez Étude de cas : Résolution des problèmes d’un périphérique USB inconnu à l’aide d’ETW et Netmon.

Nouvelles colonnes de l’analyseur ETW USB pour la pile de pilotes USB 3.0

Les types d’événements importants de la pile de pilotes USB 2.0 sont également définis dans la pile de pilotes USB 3.0. Toutefois, il existe des différences subtiles entre ces types. Par exemple, considérez le type d’événement d’achèvement du transfert de contrôle USB (Description : USBPort :Complete URB_FUNCTION_CONTROL_TRANSFER_EX with Data) :

Pour le type d’événement de pile de pilotes USB 2.0, le volet Détails du cadre affiche idVendor (également appelé VID USB) et idProduct (également appelé PID USB). Cette image montre la trace des événements pour un appareil USB 2.0 connecté au contrôleur hôte USB 2.0.

Capture d’écran montrant la fenêtre « Netmon » avec une trace d’événement pour un appareil U S B connecté à un contrôleur hôte U S B dans le volet « Détails de l’image ».

Pour le type d’événement de pile de pilotes USB 3.0, le volet Détails du cadre ne contient pas idVendor ou idPid. Ces informations sont disponibles en ajoutant de nouvelles colonnes au volet Résumé du cadre , comme illustré dans cette image.

Notez ces nouvelles colonnes :

  • Description du périphérique USB
  • USB Vid
  • USB Pid
  • Longueur USB
  • Durée de la requête USB

moniteur réseau microsoft.

Toutes les traces d’événements USB (USB 2.0 et USB 3.0) affichent désormais plus d’informations sur la requête à mesure que chaque URB se termine. Notez les valeurs, telles que « 41 sur 255 » sous Longueur USB. Ces valeurs indiquent la longueur de transfert réelle de chaque URB à l’achèvement avec le contexte de la longueur totale de la requête (TransferBufferLength d’origine spécifiée par le pilote client). En outre, vous pouvez voir le temps nécessaire (en secondes) pour qu’une demande se termine sous la colonne Durée de la requête USB .

Ajout de filtres au volet Filtre d’affichage

Vous pouvez utiliser des filtres de capture pour affiner les traces d’événements pour un scénario spécifique. Vous pouvez écrire de nouveaux filtres pour les traces d’événements à partir des piles de pilotes USB 2.0 et USB 3.0 :

USBIsError == 1      // Any error events from the USB drivers
USBIsDisconnect == 1 // Show when any device disconnected

Toutes les colonnes peuvent être filtrées. Pour créer un filtre, cliquez avec le bouton droit sur une cellule et sélectionnez Ajouter «< nom> de colonne » à Afficher le filtre. Netmon crée un filtre en fonction de sa valeur et du nom de la colonne et l’ajoute sous le volet Filtre d’affichage .