Saya menggunakan Windows 10 dan ingin mencari log penyisipan USB terbaru di desktop saya. Menggunakan Penampil Acara bawaan, di mana saya dapat menemukan log ini?
Saya tidak mengetahui daftar lengkap, jadi jalankan alat yang disebut EventGhost . Ketika sebuah perangkat terpasang atau dilepas, Anda melihat sebuah peristiwa di sisi kiri.
Ini termasuk string dengan id perangkat keras. Cari ID mouse Anda
Per jawaban scottschlaefli, Windows tidak mencatat aktivitas ini secara default. Namun, Anda dapat melakukan ini dengan utilitas pihak ketiga. Satu yang saya temukan berguna untuk mencatat aktivitas USB: http://www.nirsoft.net/utils/usb_log_view.html
USBLogView adalah utilitas kecil yang berjalan di latar belakang dan mencatat detail perangkat USB apa pun yang dicolokkan atau dicabut ke sistem Anda. Untuk setiap baris log yang dibuat oleh USBLogView, informasi berikut ini ditampilkan: Jenis Kejadian (Colok / Cabut), Waktu Kejadian, Nama Perangkat, Deskripsi, Jenis Perangkat, Huruf Drive (Untuk perangkat penyimpanan), Nomor Seri (Hanya untuk beberapa jenis perangkat ), ID Vendor, ID Produk, Nama Vendor, Nama Produk, dan banyak lagi.
Penyisipan USB bukan peristiwa yang dicatat di windows event viewer secara default. Anda dapat membuat jejak acara untuk perangkat USB menggunakan logman dengan mengikuti langkah-langkah yang terdapat di artikel Technet ini :
Dalam perintah administratif, masukkan yang berikut ini
logman create trace -n usbtrace -o %SystemRoot%\Tracing\usbtrace.etl -nb 128 640 -bs 128
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBXHCI (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-UCX (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB3 (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBPORT
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB
logman update trace -n usbtrace -p Microsoft-Windows-Kernel-IoTrace 0 2
logman start -n usbtrace
Ini akan membuat jejak di% SystemRoot% \ Tracing \ usbtrace.etl
Log ini bisa menjadi sangat besar dan masuk semua aktivitas untuk tumpukan USB tidak akan menjadi ide yang baik antara beberapa sesi, ini lebih untuk pemecahan masalah aktivitas USB.
Disk USB akan menyebabkan peristiwa ID 4688 untuk masuk ke Windows> Keamanan ketika dimasukkan dan dipasang oleh OS, mungkin itu cukup tetapi tidak ada entri log kapan saja perangkat USB terhubung. Jika masalahnya adalah perangkat penyimpanan yang dapat dilepas, Anda dapat memberlakukan audit melalui Kebijakan Grup seperti yang dijelaskan di sini :
Terapkan GPO dengan yang berikut ini:
Konfigurasi Komputer> Pengaturan Keamanan> Konfigurasi Kebijakan Audit Lanjut> Akses Objek> Audit Penyimpanan yang Dapat Dilepas> Keberhasilan (dan Kegagalan jika diinginkan) kotak acara audit dicentang.
Pada perangkat yang menjalankan Windows 7 atau 10 ada beberapa peristiwa yang dicatat dalam log Peristiwa ketika Anda mencolokkan perangkat USB ke sistem yang membutuhkan driver.
Anda dapat melihat perangkat USB sedang terhubung, serta melihat ketika mereka terputus dengan menggunakan Event Viewer untuk mengurai log peristiwa: "Microsoft / Windows / DriverFrameworks-UserMode / Operational". (Secara default, log peristiwa ini tidak diaktifkan, jadi jika Anda tertarik pada suatu peristiwa yang terjadi sebelum Anda mengaktifkan log ini, Anda kurang beruntung.)
sumber