Ghi nhật ký khi ai đó kết nối hoặc xóa thiết bị USB đến / từ máy Windows

10

Tôi hiện đang cố gắng tìm cách ghi nhật ký tất cả các kết nối và ngắt kết nối của thiết bị USB khỏi tất cả các máy Windows trên mạng của chúng tôi. Thông tin này cần được tự động đăng nhập vào một tệp trên máy, tệp này sau đó có thể được đọc bởi nxlog và sau đó được chuyển đến nền tảng ghi nhật ký tập trung của chúng tôi để xử lý. Tôi đã hy vọng rằng thông tin này sẽ được ghi lại bởi nhật ký Windows một cách tự động, nhưng tôi thấy rằng trong khi một số thông tin về bộ lưu trữ di động USB dường như được ghi vào Trình xem sự kiện, thì đây là thông tin khá hạn chế và không nhận được khi bàn phím và chuột USB kết nối và ngắt kết nối

Sau khi đào bới, tôi thấy rằng nirsoft đã viết một exe nhỏ, rất nhiều công việc khó khăn, USBLogView có thể chạy mà không cần cài đặt và ghi nhật ký mỗi khi thiết bị USB kết nối và ngắt kết nối với máy. Vấn đề với điều này là tôi không thể thấy cách chạy dịch vụ này như một dịch vụ, tôi cũng không thấy cách nào để nó tự động ghi thông tin mà nó xuất ra vào một tệp nhật ký, mặc dù bạn có thể chọn các mục nhật ký và chọn chúng theo cách thủ công lưu vào một tệp nhật ký.

Tôi có thể sử dụng Chính sách nhóm để tạo một bản sao cục bộ của tệp exe và sau đó bằng cách nào đó buộc exe này chạy trong khi khởi động, nhưng vấn đề chính là không thể lấy nhật ký tự động ghi vào tệp vẫn cần phải khắc phục. Tôi cũng cần phải có khả năng đảm bảo rằng người dùng không thể đóng chương trình, điều này có thể xảy ra khi tôi tự khởi chạy nó, lý tưởng là ẩn nó đi và không hiển thị biểu tượng khay sẽ là cách tốt nhất để cài đặt chương trình (nhưng khi tôi đã thử sử dụng cài đặt ẩn, đối với tôi, dường như nó có thể được hiển thị trong cửa sổ chính hoặc chỉ hiển thị biểu tượng systray). Tôi đã xem trên trang web, nhưng tôi không thấy cách nào để gọi chương trình với các tùy chọn để bảo nó làm điều này. Tôi cũng đã gửi email cho nirsoft vào tuần trước để xem họ có lời khuyên nào không, nhưng tôi vẫn đang chờ phản hồi.

Có ai có cách nào khác để làm điều này không? Bất kỳ đề nghị hoặc giúp đỡ chào mừng! Cảm ơn

windows  usb  logging 
Rumble
nguồn

Câu trả lời:

2

Có những giải pháp trả phí cho điều đó, vd. EndProtection4 bởi CoSoSys. Không biết làm thế nào nó hoạt động bên trong tác nhân được cài đặt trên thiết bị nhưng nó cung cấp cho bạn tất cả thông tin trên các thiết bị được cắm. Bạn cần một phía máy chủ quản lý các máy khách vì đây là phần mềm quản lý quyền truy cập vào thiết bị. Hoạt động trên máy Mac và Linux.

Bartosz Debski
nguồn
3

Kết nối và ngắt kết nối thiết bị USB được ghi vào "Nhật ký sự kiện".

Trích dẫn mô tả chi tiết này (blog "Luồng pháp y kỹ thuật số", 2014-01 / 02, Nhật ký sự kiện Windows 7 và Theo dõi thiết bị USB ):

ID sự kiện kết nối
Khi thiết bị lưu trữ di động USB được kết nối với hệ thống Windows 7, một số bản ghi sự kiện sẽ được tạo trong nhật ký sự kiện Microsoft-Windows-DriverFrameworks-UserMode / Toán tử. Các hồ sơ bao gồm những người có ID sự kiện 2003, 2004, 2005, 2010, 2100, 2105 và hơn thế nữa. ...

Ngắt kết nối ID sự kiện
Khi ổ USB được ngắt kết nối với hệ thống Windows 7, một vài bản ghi sự kiện sẽ được tạo trong cùng nhật ký sự kiện với các sự kiện kết nối. Các bản ghi với ID sự kiện 2100, 2102 và có khả năng được tạo nhiều hơn khi thiết bị USB bị ngắt kết nối. ...

Đối với việc tự động hóa xuất khẩu từ Event Log, Microsoft cung cấp logparser miễn phí.

đầm lầy
nguồn
2
Cảm ơn bạn đã trả lời, nhưng như tôi đã nói trong câu hỏi của mình, Event Viewer hiển thị khi bạn kết nối các thiết bị Lưu trữ USB, nhưng không phải các thiết bị USB như bàn phím, v.v. Tôi muốn thu thập thông tin cho tất cả các thiết bị USB không chỉ các thiết bị lưu trữ USB.
Rumble
@Rumbled Bạn có chắc chắn bạn đang xem đúng nhật ký? Nhật ký có tên ở trên không phải là một trong những "thông thường". Mặt khác, nhật ký có tên ở trên sẽ chỉ chứa thông tin trên các thiết bị được xử lý bởi trình điều khiển UMDF. Không phải trình điều khiển KMDF và không phải trình điều khiển không khung.
Jamie Hanrahan
1
Tôi không thể xác nhận, đó là thứ mà tôi đã không tìm đến trong một thời gian, và từ đó đã thay đổi công việc và hiếm khi làm việc với các máy tính để bàn Windows bây giờ (
hooray
Tôi đã có thể thấy các thiết bị lưu trữ nhưng không sử dụng chuột USB khi bật nhật ký này.
Tyler Szabo
0

Tôi sẽ thử sử dụng một công cụ như AutoIT.

$vFile = FileOpen("usb.txt", 2)

Local $vObjWMI = ObjGet("winmgmts:\\" & @ComputerName & "\root\cimv2")

$vObjItems = $vObjWMI.ExecQuery('SELECT * FROM Win32_DiskDrive')
If IsObj($vObjItems) Then
    For $vObjItem In $vObjItems
        If StringInStr($vObjItem.Caption, "USB") Then
            FileWriteLine($vFile, $vObjItem.Caption & @CRLF)
            FileWriteLine($vFile, $vObjItem.DeviceID & @CRLF & @CRLF)
        EndIf
    Next
EndIf

FileClose($vFile)

ShellExecute("usb.txt")

Một bài đăng diễn đàn này xuất phát từ trên diễn đàn AutoIT được đặt tại đây: http://www.autoitscript.com/forum/topic/155213-detect-usb-devices-connected/?p=1121434

Riley Childs
nguồn
0

Sử dụng regeditvà tìm trong các registrymục dưới đây : HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\. Để biết một số chi tiết, hãy mở PowerShell và chạy: 

$Path = 'HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*'
Get-ItemProperty -Path $Path | Select-Object -Property FriendlyName, CompatibleIDs, Mfg

Hoặc xem trong tệp nhật ký ở đây : C:\Windows\inf\setupapi.dev.log.

Để biết thêm chi tiết kỹ thuật, hãy xem Blog của Nicoles .

not2qubit
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.