Rum*_*les 11 windows usb logging
目前我正在试图找到一种方法来记录所有的从我们所有的网络上的Windows机器的连接和USB设备断线。这些信息需要自动记录到机器上的一个文件中,然后这个文件可以被 nxlog 读取,然后传送到我们的集中日志平台进行处理。我希望 Windows 日志会自动记录此信息,但我发现虽然有关 USB 可移动存储的一些信息似乎已记录到事件查看器中,但这是非常有限的信息,当 USB 键盘和鼠标处于连接和断开。
经过一番挖掘,我发现 nirsoft 编写了一个小型 exe,它做了很多艰苦的工作,USBLogView无需安装即可运行,并且每次 USB 设备连接和断开连接到机器时都会记录日志。问题是我看不到将它作为服务运行的方法,也看不到任何方法让它自动将输出的信息记录到日志文件中,尽管您可以选择日志条目并手动选择它们保存到日志文件中。
我可以使用组策略创建 exe 文件的本地副本,然后以某种方式强制此 exe 在启动期间运行,但仍需要克服无法将日志自动写入文件的主要问题。我还需要能够确保用户无法关闭程序,当我自己启动它时这是可能的,理想情况下隐藏它而不显示托盘图标将是设置它的最佳方式up(但是当我尝试使用隐藏设置时,在我看来它可以显示在主窗口中,也可以只显示系统托盘图标)。我查看了网站,但我没有看到任何方法可以通过选项来调用程序来告诉它执行此操作。我上周还给 nirsoft 发了电子邮件,看看他们是否有任何建议,但我仍在等待回复。
有没有人有任何替代方法来做到这一点?欢迎任何建议或帮助!谢谢
USB 设备的连接和断开会记录在“事件日志”中。
引用这个详细描述(“数字取证流”博客,2014-01-02,Windows 7 事件日志和 USB 设备跟踪):
连接事件 ID
当 USB 可移动存储设备连接到 Windows 7 系统时,应在 Microsoft-Windows-DriverFrameworks-UserMode/Operational 事件日志中生成大量事件记录。这些记录包括事件 ID 为 2003、2004、2005、2010、2100、2105 等的记录。...断开事件 ID
当 USB 拇指驱动器与 Windows 7 系统断开连接时,应在与连接事件相同的事件日志中生成一些事件记录。当 USB 设备断开连接时,可能会生成事件 ID 为 2100、2102 以及可能更多的记录。...
为了自动从事件日志导出,Microsoft免费 提供日志解析器。
小智 2
有付费解决方案,例如。CoSoSys 的 EndProtection4。不知道它在设备上安装的代理内部如何工作,但它为您提供了插入设备的所有信息。您需要一个管理客户端的服务器端,因为这是管理设备访问的软件。也适用于 Mac 和 Linux。