我在哪里可以找到事件查看器中最近插入 USB 的日志?
我使用的是 Windows 10,想在我的桌面上查找最近插入 USB 的日志。使用内置的事件查看器,在哪里可以找到这些日志?
Mit*_*tch 28
根据 scottschlaefli 的回答,默认情况下 Windows 不会记录此事件。但是,您可以使用第三方实用程序执行此操作。我发现对记录 USB 活动很有用:http : //www.nirsoft.net/utils/usb_log_view.html
USBLogView 是一个在后台运行的小实用程序,它记录插入或拔出系统的任何 USB 设备的详细信息。对于 USBLogView 创建的每个日志行,会显示以下信息:事件类型(插入/拔出)、事件时间、设备名称、描述、设备类型、驱动器号(用于存储设备)、序列号(仅适用于某些类型的设备) )、供应商 ID、产品 ID、供应商名称、产品名称等。
小智 11
尝试logman.exe跟踪。
默认情况下,USB 插入不是 Windows 事件查看器中记录的事件。您可以logman按照此 Technet 文章中的以下步骤为 USB 设备创建事件跟踪:
在管理命令提示符中输入以下内容
logman create trace -n usbtrace -o %SystemRoot%\Tracing\usbtrace.etl -nb 128 640 -bs 128
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBXHCI (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-UCX (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB3 (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBPORT
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB
logman update trace -n usbtrace -p Microsoft-Windows-Kernel-IoTrace 0 2
logman start -n usbtrace
这将在 %SystemRoot%\Tracing\usbtrace.etl
此日志可能会变得过大,并且在多个会话之间记录 USB 堆栈的所有活动并不是一个好主意,这更多地用于对 USB 活动进行故障排除。
USB 磁盘4688在被Windows>Security操作系统插入和挂载时会导致事件 ID被记录到,也许这已经足够了,但是在任何时候连接 USB 设备时都没有日志条目。如果问题是可移动存储设备,您可以按照此处所述通过组策略实施审核:
强制GPO与以下情况:
Computer Configuration>Security Settings>Advanced Audit Policy Configuration>Object Access>Audit Removable Storage>Success(和Failure如果需要的话)审核事件框进行检查。
- 亡灵链接:https://docs.microsoft.com/en-us/windows-hardware/drivers/usbcon/how-to-capture-a-usb-event-trace (3认同)
小智 6
在运行 Windows 7 或 10 的设备上,当您将 USB 设备插入需要驱动程序的系统时,事件日志中会记录多个事件。
通过使用事件查看器解析“Microsoft/Windows/DriverFrameworks-UserMode/Operational”事件日志,您可以看到正在连接的 USB 设备,以及查看它们何时断开连接。(默认情况下,此事件日志未启用,因此如果您对启用此日志之前发生的事件感兴趣,那么您就不走运了。)
- “我有兴趣 ... (2认同)
- 这不是一个完整的答案,所以我很想看到它变成一个。我跑了eventvwr,找到了你所指的日志,在它下面打开“Operational”并启用它。但是当我插入/拔出键盘时它不会记录任何内容。 (2认同)
| 归档时间: |
|
| 查看次数: |
109952 次 |
| 最近记录: |