Tôi có thể tìm thấy nhật ký về việc chèn USB gần đây trong Trình xem sự kiện ở đâu? [bản sao]
Câu trả lời:
Tôi không biết danh sách đầy đủ, vì vậy hãy chạy một công cụ có tên EventGhost . Khi một thiết bị được gắn hoặc gỡ bỏ, bạn sẽ thấy một sự kiện ở phía bên trái.
Nó bao gồm một chuỗi với id phần cứng. Tìm ID của chuột
Theo câu trả lời của scottschlaefli, Windows không đăng nhập sự kiện này theo mặc định. Tuy nhiên, bạn có thể làm điều này với tiện ích của bên thứ ba. Một cái tôi thấy hữu ích để ghi nhật ký hoạt động USB: http://www.nirsoft.net/utils/usb_log_view.html
USBLogView là một tiện ích nhỏ chạy trong nền và ghi lại chi tiết của bất kỳ thiết bị USB nào được cắm hoặc rút vào hệ thống của bạn. Đối với mỗi dòng nhật ký được tạo bởi USBLogView, thông tin sau được hiển thị: Loại sự kiện (Cắm / Rút phích cắm), Thời gian sự kiện, Tên thiết bị, Mô tả, Loại thiết bị, Tên ổ đĩa (Đối với thiết bị lưu trữ), Số sê-ri (Chỉ dành cho một số loại thiết bị ), ID nhà cung cấp, ID sản phẩm, Tên nhà cung cấp, Tên sản phẩm, v.v.
Theo mặc định, việc chèn USB không phải là sự kiện được ghi trong trình xem sự kiện của windows. Bạn có thể tạo dấu vết sự kiện cho thiết bị USB bằng logman bằng cách làm theo các bước sau trong bài viết Technet này :
Trong dấu nhắc lệnh quản trị, nhập thông tin sau
logman create trace -n usbtrace -o %SystemRoot%\Tracing\usbtrace.etl -nb 128 640 -bs 128
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBXHCI (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-UCX (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB3 (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBPORT
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB
logman update trace -n usbtrace -p Microsoft-Windows-Kernel-IoTrace 0 2
logman start -n usbtrace
Điều này sẽ tạo ra một dấu vết tại% SystemRoot% \ Trace \ usbtrace.etl
Nhật ký này có thể trở nên quá lớn và ghi nhật ký tất cả hoạt động cho ngăn xếp USB sẽ không phải là ý tưởng hay giữa nhiều phiên, điều này nhiều hơn để khắc phục hoạt động của USB.
Các đĩa USB sẽ khiến ID sự kiện 4688 được ghi vào Windows> Bảo mật khi được HĐH chèn và gắn, có thể như vậy là đủ nhưng không có mục nhật ký bất cứ khi nào thiết bị USB được kết nối. Nếu mối quan tâm là các thiết bị lưu trữ di động, bạn có thể thực thi kiểm toán thông qua Chính sách nhóm như được mô tả ở đây :
Thực thi GPO với các tùy chọn sau:
Cấu hình máy tính> Cài đặt bảo mật> Cấu hình chính sách kiểm toán nâng cao> Truy cập đối tượng> Lưu trữ kiểm tra di động> Thành công (và thất bại nếu muốn) đã chọn các hộp sự kiện kiểm toán.
Trên thiết bị chạy Windows 7 hoặc 10, có một số sự kiện được ghi trong Nhật ký sự kiện khi bạn cắm thiết bị USB vào hệ thống yêu cầu trình điều khiển.
Bạn có thể thấy các thiết bị USB được kết nối, cũng như xem khi nào chúng bị ngắt kết nối bằng cách sử dụng Trình xem sự kiện để phân tích nhật ký sự kiện: "Microsoft / Windows / DriverFrameworks-UserMode / Toán tử". (Theo mặc định, nhật ký sự kiện này không được bật, vì vậy nếu bạn quan tâm đến một sự kiện xảy ra trước khi bạn bật nhật ký này, bạn sẽ không gặp may.)