Я использую Windows 10 и хотел бы найти журналы последних USB-вставок на моем рабочем столе. С помощью встроенного средства просмотра событий я могу найти эти журналы?
Я не знаю полного списка, поэтому запустите инструмент под названием EventGhost . Когда устройство подключено или удалено, вы видите событие на левой стороне.
Включает строку с идентификатором оборудования. Ищите идентификатор вашей мыши
Согласно ответу scottschlaefli, Windows не регистрирует это событие по умолчанию. Однако вы можете сделать это с помощью сторонней утилиты. Один, который я нашел полезным для регистрации активности USB: http://www.nirsoft.net/utils/usb_log_view.html
USBLogView - это небольшая утилита, которая работает в фоновом режиме и записывает сведения о любом USB-устройстве, которое подключено или отключено от системы. Для каждой строки журнала, созданной USBLogView, отображается следующая информация: Тип события (Plug / Unplug), Время события, Имя устройства, Описание, Тип устройства, Буква диска (Для устройств хранения), Серийный номер (Только для некоторых типов устройств). ), Идентификатор поставщика, идентификатор продукта, имя поставщика, название продукта и многое другое.
USB-вставка не является зарегистрированным событием в средстве просмотра событий Windows по умолчанию. Вы можете создавать трассировки событий для USB-устройств, используя logman, выполнив следующие действия, описанные в этой статье Technet :
В командной строке администратора введите следующее
logman create trace -n usbtrace -o %SystemRoot%\Tracing\usbtrace.etl -nb 128 640 -bs 128
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBXHCI (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-UCX (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB3 (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBPORT
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB
logman update trace -n usbtrace -p Microsoft-Windows-Kernel-IoTrace 0 2
logman start -n usbtrace
Это создаст трассировку в% SystemRoot% \ Tracing \ usbtrace.etl
Этот журнал может стать слишком большим, и регистрация всей активности для стеков USB не будет хорошей идеей между несколькими сеансами, это больше для устранения проблем с активностью USB.
USB-диски приводят к регистрации события с кодом 4688 в Windows> Security при установке и подключении операционной системой, возможно, этого достаточно, но при каждом подключении USB-устройства записи в журнале нет. Если проблема связана со съемными устройствами хранения, вы можете включить аудит с помощью групповой политики, как описано здесь :
Установите флажок для объекта групповой политики со следующими параметрами: «
Конфигурация компьютера»> «Параметры безопасности»> «Конфигурация расширенной политики аудита»> «Доступ к объекту»> «Аудит съемного хранилища»> «Успешно (и при необходимости, при необходимости)» отмечены флажки событий аудита.
На устройстве под управлением Windows 7 или 10 в журналах событий записывается несколько событий, когда вы подключаете USB-устройство к системе, для которой требуется драйвер.
Вы можете видеть подключенные USB-устройства, а также видеть, когда они отключены, с помощью средства просмотра событий для анализа журнала событий: «Microsoft / Windows / DriverFrameworks-UserMode / Operational». (По умолчанию этот журнал событий не включен, поэтому, если вас интересует событие, которое произошло до включения этого журнала, вам не повезло.)
источник