Logging ketika seseorang menghubungkan atau menghapus perangkat USB ke / dari mesin Windows

10

Saat ini saya sedang mencari cara untuk mencatat semua koneksi dan pemutusan perangkat USB dari semua mesin Windows di jaringan kami. Informasi ini perlu secara otomatis dicatat ke file pada mesin, file ini kemudian dapat dibaca oleh nxlog dan kemudian dikirim ke platform logging terpusat kami untuk diproses. Saya berharap bahwa informasi ini akan dicatat oleh log Windows secara otomatis, tetapi saya menemukan bahwa sementara beberapa informasi tentang penyimpanan USB yang dapat dilepas tampaknya masuk ke Event Viewer, ini adalah informasi yang sangat terbatas dan tidak mengambil ketika keyboard USB dan mouse ada. terhubung dan terputus.

Setelah beberapa penggalian saya menemukan bahwa nirsoft telah menulis exe kecil yang melakukan banyak kerja keras, USBLogView dapat dijalankan tanpa instalasi dan mencatat setiap kali perangkat USB terhubung dan terputus ke mesin. Masalah dengan ini adalah bahwa saya tidak dapat melihat cara untuk menjalankan ini sebagai layanan, saya juga tidak melihat cara untuk memilikinya secara otomatis mencatat informasi yang dihasilkannya ke file log, meskipun Anda dapat memilih entri log dan secara manual memilih mereka untuk menjadi disimpan ke file log.

Saya bisa menggunakan Kebijakan Grup untuk membuat salinan lokal dari file exe, dan kemudian memaksa exe ini untuk dijalankan saat startup, tetapi masalah utama tidak bisa mendapatkan log yang secara otomatis ditulis ke file masih perlu diatasi. Saya juga perlu memastikan bahwa pengguna tidak dapat menutup program, yang dimungkinkan ketika saya meluncurkannya sendiri, idealnya menyembunyikannya dan tidak menampilkan ikon baki akan menjadi cara terbaik untuk mengaturnya. up (tetapi ketika saya telah mencoba menggunakan pengaturan tersembunyi, menurut saya itu dapat ditampilkan di jendela utama, atau hanya menampilkan ikon systray). Saya mencari di situs web, tetapi saya tidak melihat cara untuk memanggil program dengan opsi untuk mengatakannya untuk melakukan ini Saya juga mengirim email nirsoft minggu lalu untuk melihat apakah mereka memiliki saran, tetapi saya masih menunggu jawaban.

Adakah yang punya cara alternatif untuk melakukan ini? Ada saran atau bantuan, selamat datang! Terima kasih

Gemuruh
sumber

Jawaban:

2

Ada solusi berbayar untuk itu mis. EndProtection4 oleh CoSoSys. Tidak tahu bagaimana itu bekerja di dalam agen yang diinstal pada perangkat tetapi memberi Anda semua informasi pada perangkat yang terhubung. Anda memerlukan sisi server yang mengelola klien karena ini adalah perangkat lunak yang mengelola akses ke perangkat. Bekerja di Mac dan Linux juga.

Bartosz Debski
sumber
3

Menghubungkan dan memutuskan perangkat USB dicatat dalam "Log Kejadian".

Mengutip deskripsi terperinci ini (blog "Digital Forensics Stream", 2014-01-02, Windows 7 Event Log dan Pelacakan Perangkat USB ):

ID Peristiwa Koneksi
Ketika perangkat penyimpanan lepas-pasang USB terhubung ke sistem Windows 7, sejumlah catatan acara harus dihasilkan dalam log peristiwa Microsoft-Windows-DriverFrameworks-UserMode / Operasional. Catatan termasuk yang dengan ID Peristiwa 2003, 2004, 2005, 2010, 2100, 2105, dan banyak lagi. ...

ID Peristiwa Pemutusan
Ketika USB thumb drive dilepaskan dari sistem Windows 7, beberapa catatan peristiwa harus dihasilkan dalam log peristiwa yang sama dengan peristiwa koneksi. Rekaman dengan ID Peristiwa 2100, 2102, dan berpotensi lebih banyak dapat dihasilkan saat perangkat USB terputus. ...

Untuk mengotomatisasi ekspor dari Event Log, Microsoft menawarkan logparser secara gratis.

marsh-goyangkan
sumber
2
Terima kasih atas jawabannya, tetapi seperti yang saya katakan dalam pertanyaan saya, Event Viewer menunjukkan ketika Anda menghubungkan perangkat Penyimpanan USB, tetapi bukan perangkat USB seperti keyboard, dll. Saya ingin mengumpulkan informasi untuk semua perangkat USB, bukan hanya perangkat penyimpanan USB.
Rumbles
@ Gemuruh Apakah Anda yakin Anda melihat log yang benar? Log yang disebutkan di atas bukan salah satu yang "biasa". Di sisi lain, log yang disebutkan di atas hanya akan berisi info tentang perangkat yang ditangani oleh driver UMDF. Bukan driver KMDF dan bukan driver non-framework.
Jamie Hanrahan
1
Saya tidak dapat mengonfirmasi, ini adalah sesuatu yang belum saya lihat dalam beberapa saat, dan sejak itu telah berganti pekerjaan dan jarang bekerja dengan mesin desktop Windows sekarang (hore!)
Rumbles
Saya bisa melihat perangkat penyimpanan tetapi tidak menggunakan mouse USB saat mengaktifkan log ini.
Tyler Szabo
0

Saya akan mencoba menggunakan alat seperti AutoIT.

$vFile = FileOpen("usb.txt", 2)

Local $vObjWMI = ObjGet("winmgmts:\\" & @ComputerName & "\root\cimv2")

$vObjItems = $vObjWMI.ExecQuery('SELECT * FROM Win32_DiskDrive')
If IsObj($vObjItems) Then
    For $vObjItem In $vObjItems
        If StringInStr($vObjItem.Caption, "USB") Then
            FileWriteLine($vFile, $vObjItem.Caption & @CRLF)
            FileWriteLine($vFile, $vObjItem.DeviceID & @CRLF & @CRLF)
        EndIf
    Next
EndIf

FileClose($vFile)

ShellExecute("usb.txt")

Posting forum ini berasal dari ada di forum AutoIT terletak di sini: http://www.autoitscript.com/forum/topic/155213-detect-usb-devices-connected/?p=1121434

Anak-anak Riley
sumber
0

Gunakan regeditdan tampilan dalam registryitem di bawah: HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\. Untuk beberapa detail, buka PowerShell dan jalankan:

$Path = 'HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*'
Get-ItemProperty -Path $Path | Select-Object -Property FriendlyName, CompatibleIDs, Mfg

Atau lihat di file log di sini: C:\Windows\inf\setupapi.dev.log.

Untuk detail lebih lanjut, lihat Blog Nicoles .

not2qubit
sumber