Como exibir um rastreamento DE ETW USB no Netmon
Este artigo descreve como exibir um arquivo de rastreamento de eventos usando o Netmon.
Depois de instalar o Netmon e configurá-lo para uso com arquivos ETW USB, conforme descrito em Como instalar o Netmon e os Analisadores DE ETW USB, você pode usá-lo para examinar um arquivo de rastreamento.
Abrindo um arquivo ETW
Para exibir um arquivo de rastreamento no Netmon, na tela Inicial, digite "netmon" para abrir o Netmon. Abra o arquivo de rastreamento usando um dos seguintes métodos:
- No menu Arquivo , clique em Abrir, clique em Capturar e selecione o arquivo .etl.
- Clique no botão Abrir Captura e selecione o arquivo .etl.
- Pressione CTRL+O e selecione o arquivo .etl.
Um rastreamento de evento é composto por eventos individuais, cada um dos quais indica algo que aconteceu na pilha do driver. Cada evento está em conformidade com um dos vários tipos definidos pela pilha de driver.
Observe que os eventos são listados no painel Resumo do Quadro . A imagem anterior mostra os uniformes da pilha do driver USB 2.0. Observe as seguintes colunas neste painel:
- Deslocamento de Tempo: o carimbo de data/hora do evento, especificado como um deslocamento da hora de início do log.
- Nome do protocolo: o driver que registrou o evento. Para eventos USB, o driver é Hub USB ou Porta USB.
- Descrição: um nome descritivo para o evento.
Selecione um evento no painel Resumo do Quadro . O Netmon exibe os detalhes do evento nos painéis Detalhes do Quadro e Detalhes do Hex . No painel Detalhes do Quadro , expanda os itens para examinar os detalhes do evento. Para obter um exemplo de como usar o Netmon para examinar um arquivo de rastreamento USB, consulte Estudo de caso: solução de problemas de um dispositivo USB desconhecido usando ETW e Netmon.
Novas colunas do analisador DE ETW USB para pilha de driver USB 3.0
Tipos importantes de eventos da pilha de driver USB 2.0 também são definidos na pilha de driver USB 3.0. No entanto, há diferenças sutis entre esses tipos. Por exemplo, considere o tipo de evento de conclusão de transferência de controle USB (Descrição : USBPort:Complete URB_FUNCTION_CONTROL_TRANSFER_EX with Data):
Para o tipo de evento de pilha de driver USB 2.0, o painel Detalhes do Quadro mostra idVendor (também conhecido como USB VID) e idProduct (também conhecido como USB PID). Esta imagem mostra o rastreamento de eventos para um dispositivo USB 2.0 conectado ao controlador de host USB 2.0.
Para o tipo de evento de pilha de driver USB 3.0, o painel Detalhes do Quadro não contém idVendor ou idPid. Essas informações estão disponíveis adicionando novas colunas ao painel Resumo do Quadro , conforme mostrado nesta imagem.
Observe estas novas colunas:
- Descrição do dispositivo USB
- USB Vid
- USB Pid
- Comprimento USB
- Duração da solicitação USB
Todos os rastreamentos de eventos USB (USB 2.0 e USB 3.0) agora mostram mais informações sobre a solicitação conforme cada URB é concluída. Observe valores, como "41 de 255" em Comprimento USB. Esses valores indicam o comprimento de transferência real de cada URB após a conclusão com o contexto do comprimento total da solicitação (TransferBufferLength original especificado pelo driver cliente). Além disso, você pode ver quanto tempo (em segundos) levou para que uma solicitação fosse concluída na coluna Duração da Solicitação USB .
Adicionar filtros ao painel Filtro de Exibição
Você pode usar filtros de captura para restringir os rastreamentos de eventos para um cenário específico. Você pode escrever novos filtros para rastreamentos de eventos de pilhas de driver USB 2.0 e USB 3.0:
USBIsError == 1 // Any error events from the USB drivers
USBIsDisconnect == 1 // Show when any device disconnected
Todas as colunas podem ser filtradas. Para criar um filtro, clique com o botão direito do mouse em uma célula e selecione Adicionar "<nome> da coluna" ao Filtro de Exibição. O Netmon cria um filtro com base em seu valor e no nome da coluna e o adiciona no painel Filtro de Exibição .