Estou usando o Windows 10 e gostaria de encontrar registros de inserções USB recentes na minha área de trabalho. Usando o Visualizador de Eventos embutido, onde posso encontrar esses logs?
fonte
Estou usando o Windows 10 e gostaria de encontrar registros de inserções USB recentes na minha área de trabalho. Usando o Visualizador de Eventos embutido, onde posso encontrar esses logs?
Como não conheço uma lista completa, execute uma ferramenta chamada EventGhost . Quando um dispositivo é conectado ou removido, você vê um evento no lado esquerdo.
Inclui uma sequência com o ID do hardware. Procure o ID do seu mouse
De acordo com a resposta de scottschlaefli, o Windows não registra esse evento por padrão. No entanto, você pode fazer isso com um utilitário de terceiros. Um que eu achei útil para registrar a atividade do USB: http://www.nirsoft.net/utils/usb_log_view.html
O USBLogView é um pequeno utilitário que é executado em segundo plano e registra os detalhes de qualquer dispositivo USB conectado ou desconectado ao seu sistema. Para cada linha de log criada pelo USBLogView, são exibidas as seguintes informações: Tipo de evento (plugue / desconectado), Horário do evento, Nome do dispositivo, Descrição, Tipo de dispositivo, Letra da unidade (Para dispositivos de armazenamento), Número de série (Apenas para alguns tipos de dispositivos ), ID do fornecedor, ID do produto, Nome do fornecedor, Nome do produto e muito mais.
A inserção USB não é um evento registrado no visualizador de eventos do Windows por padrão. Você pode criar rastreamentos de eventos para dispositivos USB usando o logman seguindo estas etapas localizadas neste artigo da Technet :
Em um prompt de comando administrativo, digite o seguinte
logman create trace -n usbtrace -o %SystemRoot%\Tracing\usbtrace.etl -nb 128 640 -bs 128
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBXHCI (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-UCX (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB3 (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBPORT
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB
logman update trace -n usbtrace -p Microsoft-Windows-Kernel-IoTrace 0 2
logman start -n usbtrace
Isso criará um rastreamento em% SystemRoot% \ Tracing \ usbtrace.etl
Esse log pode se tornar excessivamente grande e registrar todas as atividades das pilhas USB não será uma boa ideia entre várias sessões; isso é mais para solucionar problemas da atividade USB.
Os discos USB farão com que o ID do evento 4688 seja registrado no Windows> Segurança quando inserido e montado pelo sistema operacional, talvez seja o suficiente, mas não há uma entrada de log sempre que um dispositivo USB estiver conectado. Se a preocupação for dispositivos de armazenamento removíveis, você poderá aplicar a auditoria através da Diretiva de Grupo, conforme descrito aqui :
Imponha um GPO com o seguinte:
Configuração do computador> Configurações de segurança> Configuração avançada da diretiva de auditoria> Acesso a objetos> Auditoria de armazenamento removível> Caixas de eventos de auditoria de sucesso (e falha, se desejado) marcadas.
Em um dispositivo executando o Windows 7 ou 10, existem vários eventos registrados nos logs de eventos quando você conecta um dispositivo USB a um sistema que requer um driver.
Você pode ver os dispositivos USB sendo conectados e também quando eles são desconectados, usando o Visualizador de Eventos para analisar o log de eventos "Microsoft / Windows / DriverFrameworks-UserMode / Operational". (Por padrão, esse log de eventos não está ativado, por isso, se você estiver interessado em um evento que ocorreu antes de ativá-lo, ficará sem sorte.)
fonte