我使用的是 Windows 10,想在桌面上查找最近 USB 插入的日志。使用内置事件查看器,我可以在哪里找到这些日志?
答案1
答案2
根据 scottschlaefli 的回答,Windows 默认不记录此事件。但是,您可以使用第三方实用程序来执行此操作。我发现一个有用的实用程序可以记录 USB 活动: http://www.nirsoft.net/utils/usb_log_view.html
USBLogView 是一个小型实用程序,它在后台运行,记录插入或拔出系统的任何 USB 设备的详细信息。对于 USBLogView 创建的每个日志行,都会显示以下信息:事件类型(插入/拔出)、事件时间、设备名称、说明、设备类型、驱动器号(用于存储设备)、序列号(仅适用于某些类型的设备)、供应商 ID、产品 ID、供应商名称、产品名称等。
答案3
嘗試logman.exe追蹤。
默认情况下,USB 插入不是 Windows 事件查看器中记录的事件。您可以按照logman以下步骤为 USB 设备创建事件跟踪:这篇 Technet 文章:
在管理命令提示符中输入以下内容
logman create trace -n usbtrace -o %SystemRoot%\Tracing\usbtrace.etl -nb 128 640 -bs 128
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBXHCI (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-UCX (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB3 (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBPORT
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB
logman update trace -n usbtrace -p Microsoft-Windows-Kernel-IoTrace 0 2
logman start -n usbtrace
这将创建一个跟踪 %SystemRoot%\Tracing\usbtrace.etl
该日志可能会变得过大,并且在多个会话之间记录 USB 堆栈的所有活动并不是一个好主意,这更多是为了排除 USB 活动的故障。
USB 磁盘在插入并由操作系统安装时会导致事件 ID4688被记录Windows>Security,这可能就足够了,但每次连接 USB 设备时都不会有日志条目。如果担心的是可移动存储设备,您可以通过组策略强制审核如这里所述:
使用下列方法强制执行 GPO:(
Computer Configuration>Security Settings>Advanced Audit Policy Configuration>Object Access>Audit Removable Storage>Success如果Failure需要)选中审核事件框。
答案4
在运行 Windows 7 或 10 的设备上,当您将 USB 设备插入需要驱动程序的系统时,事件日志中会记录多个事件。
您可以使用事件查看器解析“Microsoft/Windows/DriverFrameworks-UserMode/Operational”事件日志,查看正在连接的 USB 设备以及断开连接的时间。(默认情况下,此事件日志未启用,因此如果您对启用此日志之前发生的事件感兴趣,那么您就没那么幸运了。)