ฉันจะค้นหาบันทึกในการแทรก USB ล่าสุดใน Event Viewer ได้อย่างไร [ซ้ำ]

ฉันใช้ Windows 10 และต้องการหาบันทึกของการแทรก USB ล่าสุดบนเดสก์ท็อป การใช้ตัวแสดงเหตุการณ์ในตัวฉันจะหาบันทึกเหล่านี้ได้จากที่ไหน

ฉันไม่ได้เป็นตระหนักถึงรายการเต็มรูปแบบเพื่อเรียกใช้เครื่องมือที่เรียกว่าEventGhost เมื่ออุปกรณ์ถูกแนบหรือลบคุณจะเห็นเหตุการณ์ทางด้านซ้าย

มันมีสตริงที่มี ID ฮาร์ดแวร์ มองหา ID ของเมาส์ของคุณ

ตามคำตอบของ scottschlaefli Windows จะไม่บันทึกเหตุการณ์นี้เป็นค่าเริ่มต้น อย่างไรก็ตามคุณสามารถทำได้ด้วยยูทิลิตี้ของบุคคลที่สาม สิ่งหนึ่งที่ฉันพบว่ามีประโยชน์ในการบันทึกกิจกรรม USB: http://www.nirsoft.net/utils/usb_log_view.html

USBLogView เป็นยูทิลิตี้ขนาดเล็กที่ทำงานในพื้นหลังและบันทึกรายละเอียดของอุปกรณ์ USB ใด ๆ ที่เสียบหรือถอดปลั๊กในระบบของคุณ สำหรับทุกบรรทัดบันทึกที่สร้างโดย USBLogView ข้อมูลต่อไปนี้จะปรากฏขึ้น: ประเภทเหตุการณ์ (เสียบ / ถอดปลั๊ก), เวลาเหตุการณ์, ชื่ออุปกรณ์, คำอธิบาย, ประเภทอุปกรณ์, อักษรระบุไดรฟ์ (สำหรับอุปกรณ์เก็บข้อมูล), หมายเลขซีเรียล (สำหรับอุปกรณ์บางประเภทเท่านั้น ), ID ผู้ขาย, รหัสผลิตภัณฑ์, ชื่อผู้จัดจำหน่าย, ชื่อผลิตภัณฑ์และอื่น ๆ

การแทรก USB ไม่ใช่เหตุการณ์ที่บันทึกไว้ในโปรแกรมดูเหตุการณ์ของ windows โดยค่าเริ่มต้น คุณสามารถสร้างการติดตามเหตุการณ์สำหรับอุปกรณ์ USB โดยใช้ logman โดยทำตามขั้นตอนเหล่านี้ที่อยู่ในบทความของ Technet นี้ :

ในพรอมต์คำสั่งการจัดการป้อนต่อไปนี้

logman create trace -n usbtrace -o %SystemRoot%\Tracing\usbtrace.etl -nb 128 640 -bs 128
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBXHCI (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-UCX (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB3 (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBPORT
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB
logman update trace -n usbtrace -p Microsoft-Windows-Kernel-IoTrace 0 2
logman start -n usbtrace

สิ่งนี้จะสร้างการติดตามที่% SystemRoot% \ Tracing \ usbtrace.etl

บันทึกนี้อาจมีขนาดใหญ่เกินไปและการบันทึกกิจกรรมทั้งหมดสำหรับสแต็ก USB จะไม่เป็นความคิดที่ดีระหว่างหลายเซสชันนี่เป็นมากกว่าสำหรับการแก้ไขปัญหากิจกรรม USB

ดิสก์ USB จะทำให้รหัสเหตุการณ์ 4688 ถูกบันทึกไว้ใน Windows> ความปลอดภัยเมื่อเสียบและติดตั้งโดยระบบปฏิบัติการซึ่งอาจเพียงพอ แต่ไม่มีรายการบันทึกทุกครั้งที่มีการเชื่อมต่ออุปกรณ์ USB หากข้อกังวลเป็นอุปกรณ์เก็บข้อมูลแบบถอดได้คุณสามารถบังคับใช้การตรวจสอบผ่านนโยบายกลุ่มตามที่อธิบายไว้ที่นี่ :

บังคับใช้ GPO ด้วยสิ่งต่อไปนี้: การ
กำหนดค่าคอมพิวเตอร์> การตั้งค่าความปลอดภัย> การกำหนดค่านโยบายการตรวจสอบขั้นสูง> การเข้าถึงวัตถุ> ที่เก็บข้อมูลแบบถอดได้ตรวจสอบ> ความสำเร็จ (และล้มเหลวหากต้องการ)

บนอุปกรณ์ที่ใช้ Windows 7 หรือ 10 จะมีหลายเหตุการณ์ที่บันทึกไว้ในบันทึกเหตุการณ์เมื่อคุณเสียบอุปกรณ์ USB เข้ากับระบบที่ต้องใช้ไดรเวอร์

คุณสามารถดูอุปกรณ์ USB ที่กำลังเชื่อมต่อรวมถึงดูว่าพวกเขาถูกตัดการเชื่อมต่อเมื่อใช้ Event Viewer เพื่อแยกวิเคราะห์บันทึกเหตุการณ์: "Microsoft / Windows / DriverFrameworks-UserMode / Operational" (โดยค่าเริ่มต้นบันทึกเหตุการณ์นี้ไม่ได้เปิดใช้งานดังนั้นหากคุณสนใจในเหตุการณ์ที่เกิดขึ้นก่อนที่คุณจะเปิดใช้งานบันทึกนี้แสดงว่าคุณไม่มีโชค)