イベントビューアーの最近のUSB挿入に関するログはどこにありますか?[重複]
回答:
私は完全なリストを認識していませんので、EventGhostというツールを実行します。デバイスが接続または削除されると、左側にイベントが表示されます。
ハードウェアIDの文字列が含まれています。マウスのIDを探します
scottschlaefliの回答によれば、Windowsはデフォルトでこのイベントをログに記録しません。ただし、サードパーティのユーティリティを使用してこれを行うことができます。USBアクティビティを記録するのに便利だと思ったもの:http : //www.nirsoft.net/utils/usb_log_view.html
USBLogViewは、バックグラウンドで実行される小さなユーティリティで、システムに接続または取り外しされたUSBデバイスの詳細を記録します。USBLogViewによって作成されたすべてのログ行について、次の情報が表示されます:イベントタイプ(プラグ/アンプラグ)、イベント時間、デバイス名、説明、デバイスタイプ、ドライブ文字(ストレージデバイスの場合)、シリアル番号(一部のタイプのデバイスのみ) )、ベンダーID、製品ID、ベンダー名、製品名など。
USB挿入は、デフォルトではWindowsイベントビューアのログイベントではありません。このTechnet記事にある次の手順に従って、logmanを使用してUSBデバイスのイベントトレースを作成できます。
管理コマンドプロンプトで次のように入力します
logman create trace -n usbtrace -o %SystemRoot%\Tracing\usbtrace.etl -nb 128 640 -bs 128
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBXHCI (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-UCX (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB3 (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBPORT
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB
logman update trace -n usbtrace -p Microsoft-Windows-Kernel-IoTrace 0 2
logman start -n usbtrace
これにより、%SystemRoot%\ Tracing \ usbtrace.etlにトレースが作成されます
このログは非常に大きくなる可能性があり、USBスタックのすべてのアクティビティをログに記録することは、複数のセッション間ではお勧めできません。これは、USBアクティビティのトラブルシューティングに役立ちます。
USBディスクを使用すると、OSによって挿入およびマウントされたときに、イベントID 4688がWindows> Securityに記録されます。多分それで十分ですが、USBデバイスが接続されているときは常にログエントリがありません。問題がリムーバブルストレージデバイスである場合は、ここで説明するように、グループポリシーを使用して監査を実施できます。
次のようにGPOを適用します。
[コンピューターの構成]> [セキュリティの設定]> [監査ポリシーの詳細構成]> [オブジェクトアクセス]> [リムーバブル記憶域の監査]> [成功(および必要に応じて失敗)]監査イベントボックスをオンにします。
Windows 7または10を実行しているデバイスでは、ドライバーを必要とするシステムにUSBデバイスを接続すると、いくつかのイベントがイベントログに記録されます。
「Microsoft / Windows / DriverFrameworks-UserMode / Operational」イベントログを解析するためにイベントビューアを使用すると、接続されているUSBデバイスを確認できます。(デフォルトでは、このイベントログは無効になっているため、このログを有効にする前に発生したイベントに関心がある場合は、運が悪いです。)