누군가 Windows 시스템에 USB 장치를 연결하거나 제거 할 때 로깅 수동으로 선택할 수 있지만

나는 현재 로그인하는 방법을 찾기 위해 노력하고 모든 우리의 네트워크에서 Windows 시스템의 모든에서 연결 및 USB 장치의 단선을. 이 정보는 머신의 파일에 자동으로 기록되어야합니다.이 파일은 nxlog로 읽은 다음 중앙 로깅 플랫폼으로 보내져 처리됩니다. 이 정보가 Windows 로그에 의해 자동으로 기록되기를 바랐지만 USB 이동식 저장 장치에 대한 일부 정보가 이벤트 뷰어에 기록되는 것처럼 보이지만 이는 정보가 매우 제한적이며 USB 키보드 및 마우스가있을 때 선택되지 않습니다. 연결 및 연결 해제

약간의 파고 끝에 nirsoft가 많은 노력을 기울이는 작은 exe를 작성했음을 발견했습니다 .USBLogView는 설치하지 않고 실행할 수 있으며 USB 장치가 기계에 연결되고 연결이 끊어 질 때마다 기록됩니다. 이것의 문제는 이것을 서비스로 실행하는 방법을 볼 수 없으며, 로그 항목을 선택하고 수동으로 선택할 수 있지만 로그 파일에 출력되는 정보를 자동으로 기록하는 방법을 볼 수 없다는 것입니다 로그 파일에 저장되었습니다.

그룹 정책을 사용하여 exe 파일의 로컬 복사본을 만든 다음 시작 중에이 exe를 강제로 실행할 수는 있지만 파일에 자동으로 기록 된 로그를 가져올 수없는 주요 문제는 여전히 극복해야합니다. 또한 사용자가 프로그램을 닫을 수 없도록해야합니다. 프로그램을 직접 시작할 때 가능합니다. 이상적으로는 숨겨져 있고 트레이 아이콘을 표시하지 않는 것이 가장 좋은 방법입니다. (숨겨진 설정을 사용해 보았을 때 기본 창에 표시되거나 시스템 트레이 아이콘이 표시되는 것 같습니다). 웹 사이트를 보았지만이를 수행 할 수있는 옵션으로 프로그램을 호출하는 방법을 찾지 못했습니다. 나는 또한 지난주에 nirsoft에게 이메일로 조언이 있는지 확인하기 위해 이메일을 보냈지 만 여전히 답변을 기다리고 있습니다.

누구든지 이것을 할 수있는 대안이 있습니까? 어떤 제안이나 환영합니다! 감사



답변

예를 들어 유료 솔루션이 있습니다. CoSoSys의 EndProtection4. 장치에 설치된 에이전트 내에서 어떻게 작동하는지 모르지만 연결된 장치에 대한 모든 정보를 제공합니다. 장치에 대한 액세스를 관리하는 소프트웨어이므로 클라이언트를 관리하는 서버 측이 필요합니다. Mac 및 Linux에서도 작동합니다.


답변

USB 장치의 연결 및 연결 해제가 “이벤트 로그”에 기록됩니다.

자세한 설명 인용 ( “디지털 포렌직 스트림”블로그, 2014-01-02, Windows 7 이벤트 로그 및 USB 장치 추적 ) :

연결 이벤트 ID
USB 이동식 저장 장치가 Windows 7 시스템에 연결된 경우 Microsoft-Windows-DriverFrameworks-UserMode / Operational 이벤트 로그에 많은 이벤트 레코드가 생성되어야합니다. 레코드에는 이벤트 ID 2003, 2004, 2005, 2010, 2100, 2105 등이 포함됩니다. …

연결 해제 이벤트 ID
Windows 7 시스템에서 USB 썸 드라이브 연결이 끊어지면 연결 이벤트와 동일한 이벤트 로그에 몇 개의 이벤트 레코드가 생성되어야합니다. USB 장치 연결이 끊어지면 이벤트 ID가 2100, 2102 이상인 레코드가 생성 될 수 있습니다. …

이벤트 로그에서 내보내기를 자동화 하기 위해 Microsoft는 로그 파서 를 무료로 제공합니다 .


답변

AutoIT와 같은 도구를 사용해보십시오.

$vFile = FileOpen("usb.txt", 2)

Local $vObjWMI = ObjGet("winmgmts:\\" & @ComputerName & "\root\cimv2")

$vObjItems = $vObjWMI.ExecQuery('SELECT * FROM Win32_DiskDrive')
If IsObj($vObjItems) Then
    For $vObjItem In $vObjItems
        If StringInStr($vObjItem.Caption, "USB") Then
            FileWriteLine($vFile, $vObjItem.Caption & @CRLF)
            FileWriteLine($vFile, $vObjItem.DeviceID & @CRLF & @CRLF)
        EndIf
    Next
EndIf

FileClose($vFile)

ShellExecute("usb.txt")

이 포럼은 AutoIT 포럼에 있습니다. http://www.autoitscript.com/forum/topic/155213-detect-usb-devices-connected/?p=1121434


답변

다음 항목을
사용 regedit하고 살펴보십시오 .. 자세한 내용은 PowerShell을 열고 다음을 실행하십시오. registryHKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\

$Path = 'HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*'
Get-ItemProperty -Path $Path | Select-Object -Property FriendlyName, CompatibleIDs, Mfg

또는 여기에서 로그 파일을보십시오 : C:\Windows\inf\setupapi.dev.log.

자세한 기술 정보는 Nicoles 블로그를 참조하십시오 .


답변