Windowsマシンとの間でUSBデバイスが接続または削除されたときのログ

10

私は現在、ログに記録する方法を見つけることを試みているすべての私たちのネットワーク上のWindowsマシンのすべてのUSBデバイスの接続と切断を。この情報は自動的にマシン上のファイルに記録される必要があり、このファイルはnxlogによって読み取られ、集中ログプラットフォームに送信されて処理されます。この情報がWindowsログによって自動的にログに記録されることを期待していましたが、USBリムーバブルストレージに関する一部の情報がイベントビューアーに記録されているように見えますが、これは非常に限定的な情報であり、USBキーボードとマウスが接続されている場合は取得しません接続および切断。

私はそれnirsoftは、多くのハードワークをして、小さなexeファイルを書いていた見つかったいくつかの掘削後、USBLogViewはインストールせずに実行し、毎回マシンへのUSBデバイスの接続と切断をログに記録することができます。これの問題は、これをサービスとして実行する方法が見当たらないこと、およびログエントリを選択して手動で選択することはできますが、ログファイルに出力する情報を自動的に記録する方法が見当たらないことです。ログファイルに保存されます。

グループポリシーを使用してexeファイルのローカルコピーを作成し、起動中にこのexeを強制的に実行することもできますが、ログを自動的にファイルに書き込むことができないという主な問題は解決する必要があります。また、ユーザーがプログラムを閉じることができないようにする必要もあります。これは、自分でプログラムを起動したときに可能です。理想的には、プログラムを非表示にし、トレイアイコンを表示しないことが、プログラムを設定する最良の方法です。 up(ただし、非表示の設定を使用してみたところ、メインウィンドウに表示されるか、システムトレイアイコンを表示するだけのように見えます)。私はウェブサイトを見ましたが、これを行うように指示するオプションを指定してプログラムを呼び出す方法がありません。先週、nirsoftにもメールを送ってアドバイスがあるかどうかを確認しましたが、まだ返答を待っています。

これを行うための代替方法を誰かが持っていますか?どんな提案や助けも歓迎します!ありがとう

windows  usb  logging 
ランブル
ソース

回答:

2

そのための有料ソリューションがあります。CoSoSysによるEndProtection4。デバイスにインストールされたエージェント内でどのように機能するかはわかりませんが、プラグインされたデバイスに関するすべての情報を提供します。これはデバイスへのアクセスを管理するソフトウェアであるため、クライアントを管理するサーバー側が必要です。MacとLinuxでも動作します。

バルトシュ・デブスキ
ソース
3

USBデバイスの接続と切断は、「イベントログ」に記録されます。

この詳細な説明を引用して(「デジタルフォレンジックストリーム」ブログ、2014-01-02、Windows 7のイベントログとUSBデバイスの追跡):

接続イベントID
USBリムーバブルストレージデバイスがWindows 7システムに接続されている場合、Microsoft-Windows-DriverFrameworks-UserMode / Operationalイベントログに多数のイベントレコードが生成されます。レコードには、イベントID 2003、2004、2005、2010、2100、2105などのレコードが含まれます。...

切断イベントID
USBサムドライブがWindows 7システムから切断されると、いくつかのイベントレコードが接続イベントと同じイベントログに生成されます。USBデバイスが切断されると、イベントID 2100、2102、および場合によってはそれ以上のレコードが生成されることがあります。...

イベントログからのエクスポートを自動化するために、Microsoftはlogparserを無料で提供しています。

マーシュウィグル
ソース
2
返信ありがとうございます。質問で述べたように、イベントビューアーはUSBストレージデバイスを接続すると表示されますが、キーボードなどのUSBデバイスは表示されません。USBストレージデバイスだけでなく、すべてのUSBデバイスの情報を収集したいと思います。
2014
@ランブルズあなたは正しいログを見ていると確信していますか?上記のログは「通常の」ログの1つではありません。一方、上記のログには、UMDFドライバーによって処理されるデバイスに関する情報のみが含まれます。KMDFドライバーおよび非フレームワークドライバーではありません。
Jamie Hanrahan
1
確認できません。しばらく調べていないので、仕事が変わって、Windowsデスクトップマシンで動作することはほとんどありません(
フレイ
このログを有効にすると、ストレージデバイスは表示されましたが、USBマウスは表示されませんでした。
タイラーSzabo
0

AutoITなどのツールを使ってみます。

$vFile = FileOpen("usb.txt", 2)

Local $vObjWMI = ObjGet("winmgmts:\\" & @ComputerName & "\root\cimv2")

$vObjItems = $vObjWMI.ExecQuery('SELECT * FROM Win32_DiskDrive')
If IsObj($vObjItems) Then
    For $vObjItem In $vObjItems
        If StringInStr($vObjItem.Caption, "USB") Then
            FileWriteLine($vFile, $vObjItem.Caption & @CRLF)
            FileWriteLine($vFile, $vObjItem.DeviceID & @CRLF & @CRLF)
        EndIf
    Next
EndIf

FileClose($vFile)

ShellExecute("usb.txt")

これからのフォーラム投稿は、AutoITフォーラムにあります。http://www.autoitscript.com/forum/topic/155213-detect-usb-devices-connected/?p = 1121434

ライリー・チャイルズ
ソース
0

以下regeditregistryアイテムを 使用して確認してくださいHKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\。詳細については、PowerShellを開いて実行します。 

$Path = 'HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*'
Get-ItemProperty -Path $Path | Select-Object -Property FriendlyName, CompatibleIDs, Mfg

または、こちらのログファイルをご覧くださいC:\Windows\inf\setupapi.dev.log

技術的な詳細については、Nicolesブログをご覧ください。

not2qubit
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.