Где я могу найти логи недавней вставки USB в Event Viewer? [Дубликат]


18

Я использую Windows 10 и хотел бы найти журналы последних USB-вставок на моем рабочем столе. С помощью встроенного средства просмотра событий я могу найти эти журналы?

Ответы:


7

Я не знаю полного списка, поэтому запустите инструмент под названием EventGhost . Когда устройство подключено или удалено, вы видите событие на левой стороне.

введите описание изображения здесь

Включает строку с идентификатором оборудования. Ищите идентификатор вашей мыши


21

Согласно ответу scottschlaefli, Windows не регистрирует это событие по умолчанию. Однако вы можете сделать это с помощью сторонней утилиты. Один, который я нашел полезным для регистрации активности USB: http://www.nirsoft.net/utils/usb_log_view.html

USBLogView - это небольшая утилита, которая работает в фоновом режиме и записывает сведения о любом USB-устройстве, которое подключено или отключено от системы. Для каждой строки журнала, созданной USBLogView, отображается следующая информация: Тип события (Plug / Unplug), Время события, Имя устройства, Описание, Тип устройства, Буква диска (Для устройств хранения), Серийный номер (Только для некоторых типов устройств). ), Идентификатор поставщика, идентификатор продукта, имя поставщика, название продукта и многое другое.

Скриншот


9

USB-вставка не является зарегистрированным событием в средстве просмотра событий Windows по умолчанию. Вы можете создавать трассировки событий для USB-устройств, используя logman, выполнив следующие действия, описанные в этой статье Technet :

В командной строке администратора введите следующее

logman create trace -n usbtrace -o %SystemRoot%\Tracing\usbtrace.etl -nb 128 640 -bs 128
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBXHCI (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-UCX (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB3 (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBPORT
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB
logman update trace -n usbtrace -p Microsoft-Windows-Kernel-IoTrace 0 2
logman start -n usbtrace

Это создаст трассировку в% SystemRoot% \ Tracing \ usbtrace.etl

Этот журнал может стать слишком большим, и регистрация всей активности для стеков USB не будет хорошей идеей между несколькими сеансами, это больше для устранения проблем с активностью USB.

USB-диски приводят к регистрации события с кодом 4688 в Windows> Security при установке и подключении операционной системой, возможно, этого достаточно, но при каждом подключении USB-устройства записи в журнале нет. Если проблема связана со съемными устройствами хранения, вы можете включить аудит с помощью групповой политики, как описано здесь :

Установите флажок для объекта групповой политики со следующими параметрами: «
Конфигурация компьютера»> «Параметры безопасности»> «Конфигурация расширенной политики аудита»> «Доступ к объекту»> «Аудит съемного хранилища»> «Успешно (и при необходимости, при необходимости)» отмечены флажки событий аудита.



3

На устройстве под управлением Windows 7 или 10 в журналах событий записывается несколько событий, когда вы подключаете USB-устройство к системе, для которой требуется драйвер.

Вы можете видеть подключенные USB-устройства, а также видеть, когда они отключены, с помощью средства просмотра событий для анализа журнала событий: «Microsoft / Windows / DriverFrameworks-UserMode / Operational». (По умолчанию этот журнал событий не включен, поэтому, если вас интересует событие, которое произошло до включения этого журнала, вам не повезло.)


1
«Мне» интересно ...
Pierre.Vriens

1
Это не полный ответ, поэтому я хотел бы, чтобы он превратился в один. Я запустил eventvwr, нашел журнал, на который вы ссылаетесь, и открыл «Операционный» под ним и включил его. Но он ничего не регистрирует, когда я подключаю / отключаю свою клавиатуру.
Moby Disk
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.