当有人将 USB 设备连接到 Windows 计算机或从 Windows 计算机移除 USB 设备时进行记录

有付费解决方案，例如 CoSoSys 的 EndProtection4。不知道它在设备上安装的代理中是如何工作的，但它会为您提供有关插入设备的所有信息。您需要一个管理客户端的服务器端，因为这是管理设备访问的软件。也适用于 Mac 和 Linux。

USB 设备的连接和断开记录在“事件日志”中。

引用此详细说明（《数字取证流》博客，2014 年 1 月 2 日，Windows 7 事件日志和 USB 设备跟踪)：

连接事件 ID
当 USB 可移动存储设备连接到 Windows 7 系统时，Microsoft-Windows-DriverFrameworks-UserMode/Operational 事件日志中应该会生成许多事件记录。这些记录包括事件 ID 为 2003、2004、2005、2010、2100、2105 等的记录。...

断开连接事件 ID
当 USB 拇指驱动器与 Windows 7 系统断开连接时，应在与连接事件相同的事件日志中生成一些事件记录。当 USB 设备断开连接时，可能会生成事件 ID 为 2100、2102 甚至更多事件的记录。...

为了自动从事件日志中导出数据，Microsoft 提供了日志解析器免费。

我会尝试使用诸如 AutoIT 之类的工具。

$vFile = FileOpen("usb.txt", 2)

Local $vObjWMI = ObjGet("winmgmts:\\" & @ComputerName & "\root\cimv2")

$vObjItems = $vObjWMI.ExecQuery('SELECT * FROM Win32_DiskDrive')
If IsObj($vObjItems) Then
    For $vObjItem In $vObjItems
        If StringInStr($vObjItem.Caption, "USB") Then
            FileWriteLine($vFile, $vObjItem.Caption & @CRLF)
            FileWriteLine($vFile, $vObjItem.DeviceID & @CRLF & @CRLF)
        EndIf
    Next
EndIf

FileClose($vFile)

ShellExecute("usb.txt")

该帖子来自 AutoIT 论坛，网址为：http://www.autoitscript.com/forum/topic/155213-detect-usb-devices-connected/?p=1121434

使用regedit并查看registry以下项目： HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\。有关详细信息，请打开 PowerShell 并运行：

$Path = 'HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*'
Get-ItemProperty -Path $Path | Select-Object -Property FriendlyName, CompatibleIDs, Mfg

或者查看此处的日志文件：C:\Windows\inf\setupapi.dev.log。

有关更多技术细节，请参阅妮可的博客。