Де я можу знайти журнали останньої вставки USB у переглядачі подій? [дублікат]

Я використовую Windows 10 і хотів би знайти на своєму робочому столі журнали останніх вставок USB. Де я можу знайти ці журнали за допомогою вбудованого переглядача подій?

Я не знаю повного списку, тому запустіть інструмент під назвою EventGhost . Коли пристрій приєднано чи вилучено, ви побачите подію зліва.

Вона включає в себе рядок з ідентифікатором обладнання. Шукайте ідентифікатор вашої миші

Відповідно до відповіді scottschlaefli, Windows не записує цю подію за замовчуванням. Однак це можна зробити за допомогою сторонньої утиліти. Один, який я вважав корисним для реєстрації USB-активності: http://www.nirsoft.net/utils/usb_log_view.html

USBLogView - це невелика утиліта, яка працює у фоновому режимі і записує дані про будь-який USB-пристрій, який підключений або відключений до вашої системи. Для кожного рядка журналу, створеного USBLogView, відображається така інформація: Тип події (Plug / Unplug), Час події, Назва пристрою, Опис, Тип пристрою, Лист накопичувача (для пристроїв зберігання даних), Серійний номер (лише для деяких типів пристроїв ), Ідентифікатор продавця, ідентифікатор продукту, назва постачальника, назва продукту тощо.

USB-вставлення за замовчуванням не є зареєстрованою подією у програмі перегляду подій Windows. Ви можете створити сліди подій для USB-пристроїв за допомогою реєстрації, виконавши наступні кроки, розташовані в цій статті Technet :

В адміністративному командному рядку введіть наступне

logman create trace -n usbtrace -o %SystemRoot%\Tracing\usbtrace.etl -nb 128 640 -bs 128
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBXHCI (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-UCX (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB3 (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBPORT
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB
logman update trace -n usbtrace -p Microsoft-Windows-Kernel-IoTrace 0 2
logman start -n usbtrace

Це створить слід у% SystemRoot% \ Tracing \ usbtrace.etl

Цей журнал може стати надмірно великим, і ведення всієї активності для USB стеків не стане гарною ідеєю між декількома сеансами, це більше стосується усунення неполадок USB-активності.

USB-диски спричинить реєстрацію ідентифікатора події 4688 у Windows> Безпека при вставлянні та встановленні ОС, можливо, цього достатньо, але запису в журнал немає, коли підключено USB-пристрій. Якщо проблема полягає у знімних пристроях зберігання даних, ви можете застосувати аудит за допомогою групової політики, як описано тут :

Закріпіть групову спільноту за допомогою наступного:
Конфігурація комп’ютера> Налаштування безпеки> Розширена конфігурація політики аудиту> Доступ до об'єктів> Аудит, що знімається сховище> Успіх (і, за бажанням, невдача) встановлені поля подій аудиту.

На пристрої під управлінням Windows 7 або 10 є кілька подій, записаних у журналах подій, коли ви підключаєте USB-пристрій до системи, яка потребує драйвера.

Ви можете бачити підключені USB-пристрої, а також бачити, коли вони відключаються, використовуючи програму перегляду подій для розбору журналу подій: "Microsoft / Windows / DriverFrameworks-UserMode / Operational". (За замовчуванням цей журнал подій не ввімкнено, тому якщо вас зацікавила подія, що сталася перед тим, як увімкнути цей журнал, вам не пощастило.)