Korzystam z systemu Windows 10 i chciałbym znaleźć dzienniki ostatnich podłączeń USB na moim pulpicie. Gdzie mogę znaleźć te dzienniki za pomocą wbudowanej przeglądarki zdarzeń?
Odpowiedzi:
Nie znam pełnej listy, więc uruchom narzędzie o nazwie EventGhost . Po podłączeniu lub odłączeniu urządzenia po lewej stronie widać zdarzenie.
Zawiera ciąg o identyfikatorze sprzętowym. Znajdź identyfikator myszy
Zgodnie z odpowiedzią scottschlaefli system Windows domyślnie nie rejestruje tego zdarzenia. Możesz to jednak zrobić za pomocą narzędzia innej firmy. Jeden uważam za użyteczny do rejestrowania aktywności USB: http://www.nirsoft.net/utils/usb_log_view.html
USBLogView to małe narzędzie działające w tle i rejestrujące szczegóły każdego urządzenia USB podłączonego lub odłączonego do systemu. Dla każdego wiersza dziennika utworzonego przez USBLogView wyświetlane są następujące informacje: Typ zdarzenia (Podłącz / Odłącz), Czas zdarzenia, Nazwa urządzenia, Opis, Typ urządzenia, Litera dysku (dla urządzeń pamięci masowej), Numer seryjny (Tylko dla niektórych typów urządzeń ), Identyfikator dostawcy, identyfikator produktu, nazwa dostawcy, nazwa produktu i inne.
Wstawienie USB domyślnie nie jest zarejestrowanym zdarzeniem w przeglądarce zdarzeń systemu Windows. Możesz tworzyć ślady zdarzeń dla urządzeń USB za pomocą logmana, wykonując następujące kroki znajdujące się w tym artykule Technet :
W administracyjnym wierszu polecenia wprowadź następujące dane
logman create trace -n usbtrace -o %SystemRoot%\Tracing\usbtrace.etl -nb 128 640 -bs 128
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBXHCI (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-UCX (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB3 (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBPORT
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB
logman update trace -n usbtrace -p Microsoft-Windows-Kernel-IoTrace 0 2
logman start -n usbtrace
Spowoduje to utworzenie śledzenia w% SystemRoot% \ Tracing \ usbtrace.etl
Ten dziennik może stać się zbyt duży, a rejestrowanie całej aktywności stosów USB nie będzie dobrym pomysłem między wieloma sesjami, bardziej dotyczy rozwiązywania problemów z aktywnością USB.
Dyski USB spowodują, że zdarzenie o identyfikatorze 4688 zostanie zarejestrowane w systemie Windows> Bezpieczeństwo po włożeniu i zamontowaniu przez system operacyjny, może to wystarczy, ale nie ma wpisu dziennika za każdym razem, gdy urządzenie USB jest podłączone. Jeśli problem dotyczy wymiennych urządzeń pamięci masowej, możesz wymusić kontrolę za pomocą zasad grupy, jak opisano tutaj :
Egzekwuj obiekt zasad grupy, wykonując następujące czynności:
Zaznaczone pola zdarzeń inspekcji Konfiguracja komputera> Ustawienia zabezpieczeń> Konfiguracja zasad zaawansowanego audytu> Dostęp do obiektu> Kontroluj wymienną pamięć masową> Pomyślnie (w razie potrzeby nie powiodła się).
Na urządzeniu z systemem Windows 7 lub 10 w dziennikach zdarzeń zarejestrowanych jest kilka zdarzeń po podłączeniu urządzenia USB do systemu wymagającego sterownika.
Możesz zobaczyć podłączone urządzenia USB, a także zobaczyć, kiedy są one odłączone, używając Podglądu zdarzeń do parsowania dziennika zdarzeń: „Microsoft / Windows / DriverFrameworks-UserMode / Operational”. (Domyślnie ten dziennik zdarzeń nie jest włączony, więc jeśli interesuje Cię zdarzenie, które miało miejsce przed włączeniem tego dziennika, nie masz szczęścia).