Я использую Windows 10 и хотел бы найти журналы последних USB-вставок на моем рабочем столе. Где можно найти эти журналы с помощью встроенного средства просмотра событий?
4 ответа
9
Согласно ответу scottschlaefli, Windows не регистрирует это событие по умолчанию. Однако вы можете сделать это с помощью сторонней утилиты. Один, который я нашел полезным для регистрации активности USB: http://www.nirsoft.net/utils/usb_log_view.html
USBLogView - это небольшая утилита, которая работает в фоновом режиме и записывает сведения о любом USB-устройстве, которое подключено или отключено от системы. Для каждой строки журнала, созданной USBLogView, отображается следующая информация: Тип события (Plug/Unplug), Время события, Имя устройства, Описание, Тип устройства, Буква диска (Для устройств хранения), Серийный номер (Только для некоторых типов устройств). ), Идентификатор поставщика, идентификатор продукта, имя поставщика, название продукта и многое другое.
4
Вставка USB не является зарегистрированным событием в средстве просмотра событий Windows по умолчанию. Вы можете создавать трассировки событий для USB-устройств, используя logman, выполнив следующие действия, описанные в этой статье Technet:
В командной строке администратора введите следующее
logman create trace -n usbtrace -o %SystemRoot%\Tracing\usbtrace.etl -nb 128 640 -bs 128
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBXHCI (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-UCX (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB3 (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBPORT
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB
logman update trace -n usbtrace -p Microsoft-Windows-Kernel-IoTrace 0 2
logman start -n usbtrace
Это создаст трассировку в% SystemRoot%\Tracing\usbtrace.etl
Этот журнал может стать слишком большим, и регистрация всей активности для стеков USB не будет хорошей идеей между несколькими сеансами, это больше для устранения проблем с активностью USB.
USB-диски приводят к регистрации события с кодом 4688 в Windows> Security при установке и подключении ОС, возможно, этого достаточно, но при каждом подключении USB-устройства записи в журнале нет. Если проблема связана со съемными устройствами хранения, вы можете включить аудит с помощью групповой политики, как описано здесь:
Внедрить объект групповой политики с помощью следующего:
Конфигурация компьютера> Параметры безопасности> Конфигурация расширенной политики аудита> Доступ к объектам> Аудит съемного хранилища> Успешные (и при необходимости сбой) флажки событий аудита.
4
Я не знаю полного списка, поэтому запустите инструмент под названием EventGhost. Когда устройство подключено или удалено, вы видите событие на левой стороне.
Включает строку с идентификатором оборудования. Ищите идентификатор вашей мыши
1
Я пришел сюда в поисках ответа и увидел этот вопрос, поэтому подумал, что смогу помочь с оригинальным постером.
На устройстве под управлением Windows 7 или 10 в журнале событий записывается несколько событий, когда вы подключаете USB-устройство к системе, для которой требуется драйвер.
Вы можете видеть подключенные USB-устройства, а также видеть, когда они отключены, с помощью средства просмотра событий для анализа журнала событий «Microsoft-Windows-DriverFrameworks-UserMode».
Если вам интересно, я опубликую некоторые сторонние инструменты, которые вы можете использовать, чтобы проанализировать время подключения, как долго устройство было подключено и когда устройство было отключено.