Où puis-je trouver les journaux de la récente insertion USB dans l'observateur d'événements?
J'utilise Windows 10 et j'aimerais trouver les journaux des insertions USB récentes sur mon bureau. À l'aide de l'observateur d'événements intégré, où puis-je trouver ces journaux?
Je ne suis pas au courant d'une liste complète, alors exécutez un outil appelé EventGhost . Lorsqu'un périphérique est connecté ou supprimé, vous voyez un événement sur le côté gauche.
Il comprend une chaîne avec l'identifiant matériel. Cherchez l'ID de votre souris
Selon la réponse de scottschlaefli, Windows ne consigne pas cet événement par défaut. Toutefois, vous pouvez le faire avec un utilitaire tiers. Un que j'ai trouvé utile pour enregistrer l'activité USB: http://www.nirsoft.net/utils/usb_log_view.html
USBLogView est un petit utilitaire qui s'exécute en arrière-plan et enregistre les détails de tout périphérique USB branché ou débranché sur votre système. Pour chaque ligne de journal créée par USBLogView, les informations suivantes sont affichées: type d'événement (Plug/Unplug), heure de l'événement, nom du périphérique, description, type de périphérique, lettre de lecteur (pour les périphériques de stockage), numéro de série (uniquement pour certains types de périphériques). ), ID fournisseur, ID produit, Nom du fournisseur, Nom du produit, etc.
L'insertion USB n'est pas un événement enregistré dans l'afficheur d'événements Windows par défaut. Vous pouvez créer des traces d'événements pour les périphériques USB à l'aide de logman en procédant comme suit: de cet article Technet :
Dans une invite de commande administrative, entrez les informations suivantes
logman create trace -n usbtrace -o %SystemRoot%\Tracing\usbtrace.etl -nb 128 640 -bs 128
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBXHCI (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-UCX (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB3 (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBPORT
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB
logman update trace -n usbtrace -p Microsoft-Windows-Kernel-IoTrace 0 2
logman start -n usbtrace
Cela créera une trace sur% SystemRoot%\Tracing\usbtrace.etl
Ce journal peut devenir excessivement volumineux et la journalisation de toutes les activités des piles USB ne sera pas une bonne idée entre plusieurs sessions, mais plutôt pour le dépannage de l'activité USB.
Les disques USB provoqueront la journalisation de l'ID d'événement 4688 sous Windows> Sécurité lors de l'insertion et du montage par le système d'exploitation. C'est peut-être suffisant, mais il n'y a pas d'entrée de journal chaque fois qu'un périphérique USB est connecté. Si le problème concerne les périphériques de stockage amovibles, vous pouvez appliquer l'audit via la stratégie de groupe comme décrit ici :
Appliquez un GPO avec les éléments suivants:
Configuration ordinateur> Paramètres de sécurité> Configuration de stratégie d'audit avancée> Accès aux objets> Stockage amovible d'audit> Cases d'événement d'audit Succès (et échec si souhaité) cochées.
Je suis venu ici pour chercher une réponse et j'ai vu cette question, alors j'ai pensé pouvoir aider l'affiche originale.
Sur un périphérique fonctionnant sous Windows 7 ou 10, plusieurs événements sont enregistrés dans les journaux des événements lorsque vous connectez un périphérique USB à un système nécessitant un pilote.
Vous pouvez voir les périphériques USB en cours de connexion ainsi que leur déconnexion en utilisant l'observateur d'événements pour analyser le journal des événements: "Microsoft-Windows-DriverFrameworks-UserMode".
Si vous êtes intéressé, je vais publier des outils tiers que vous pouvez utiliser pour analyser le temps de connexion, la durée de connexion du périphérique et le moment de la déconnexion du périphérique.