이벤트 뷰어에서 최근 USB 삽입에 대한 로그를 어디에서 찾을 수 있습니까? [복제]

Windows 10을 사용하고 있으며 데스크탑에서 최근 USB 삽입 로그를 찾고 싶습니다. 내장 된 이벤트 뷰어를 사용하여이 로그를 어디에서 찾을 수 있습니까?



답변

전체 목록을 알지 못하므로 EventGhost 라는 도구를 실행하십시오 . 장치가 연결되거나 제거되면 왼쪽에 이벤트가 표시됩니다.

하드웨어 ID가 포함 된 문자열을 포함합니다. 마우스의 ID를 찾으십시오


답변

scottschlaefli의 답변에 따라 Windows는 기본적으로이 이벤트를 기록하지 않습니다. 그러나 타사 유틸리티를 사용하여이 작업을 수행 할 수 있습니다. USB 활동을 기록하는 데 유용한 것으로 나타났습니다 : http://www.nirsoft.net/utils/usb_log_view.html

USBLogView는 백그라운드에서 실행되는 작은 유틸리티이며 시스템에 연결 또는 분리 된 USB 장치의 세부 정보를 기록합니다. USBLogView에 의해 생성 된 모든 로그 라인에 대해 다음 정보가 표시됩니다 : 이벤트 유형 (플러그 / 언 플러그), 이벤트 시간, 장치 이름, 설명, 장치 유형, 드라이브 문자 (저장 장치의 경우), 일련 번호 (일부 장치 유형의 경우 만) ), 공급 업체 ID, 제품 ID, 공급 업체 이름, 제품 이름 등이 있습니다.


답변

USB 삽입은 기본적으로 Windows 이벤트 뷰어에 기록 된 이벤트가 아닙니다. 이 Technet 기사 에있는 다음 단계에 따라 logman을 사용하여 USB 장치에 대한 이벤트 추적을 작성할 수 있습니다 .

관리 명령 프롬프트에서 다음을 입력하십시오.

logman create trace -n usbtrace -o %SystemRoot%\Tracing\usbtrace.etl -nb 128 640 -bs 128
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBXHCI (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-UCX (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB3 (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBPORT
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB
logman update trace -n usbtrace -p Microsoft-Windows-Kernel-IoTrace 0 2
logman start -n usbtrace

% SystemRoot % \ Tracing \ usbtrace.etl에 추적이 작성됩니다.

이 로그가 지나치게 커질 수 있으며 USB 스택에 대한 모든 활동을 기록하는 것이 여러 세션간에 좋은 아이디어가되지는 않습니다. 이는 USB 활동의 문제점을 해결하기위한 것입니다.

USB 디스크는 OS에 의해 삽입되고 마운트 될 때 이벤트 ID 4688이 Windows> 보안에 기록되도록합니다. 충분하지만 USB 장치가 연결될 때마다 로그 항목이 없습니다. 이동식 저장 장치가 우려되는 경우 여기에 설명 된대로 그룹 정책 통해 감사를 시행 할 수 있습니다 .

컴퓨터 구성> 보안 설정> 고급 감사 정책 구성> 개체 액세스> 이동식 저장소 감사> 성공 (및 필요한 경우 실패) 감사 이벤트 상자를 선택 하여 GPO를 시행합니다 .


답변

Windows 7 또는 10을 실행하는 장치에는 USB 장치를 드라이버가 필요한 시스템에 연결할 때 이벤트 로그에 여러 이벤트가 기록됩니다.

이벤트 뷰어를 사용하여 “Microsoft / Windows / DriverFrameworks-UserMode / Operational”이벤트 로그를 구문 분석하여 USB 장치가 연결되어 있고 연결이 끊어진시기를 확인할 수 있습니다. 기본적으로이 이벤트 로그는 활성화되어 있지 않으므로이 로그를 활성화하기 전에 발생한 이벤트에 관심이 있으시면 운이 없습니다.