Ich verwende Windows 10 und möchte Protokolle der letzten USB-Einfügungen auf meinem Desktop finden. Wo finde ich diese Protokolle mithilfe der integrierten Ereignisanzeige?
Mir ist keine vollständige Liste bekannt. Führen Sie daher ein Tool namens EventGhost aus . Wenn ein Gerät angeschlossen oder entfernt wird, wird auf der linken Seite ein Ereignis angezeigt.
Es enthält eine Zeichenfolge mit der Hardware-ID. Suchen Sie nach der ID Ihrer Maus
Gemäß der Antwort von scottschlaefli protokolliert Windows dieses Ereignis nicht standardmäßig. Sie können dies jedoch mit einem Dienstprogramm eines Drittanbieters tun. Eine, die ich zum Protokollieren der USB-Aktivität als nützlich empfunden habe: http://www.nirsoft.net/utils/usb_log_view.html
USBLogView ist ein kleines Dienstprogramm, das im Hintergrund ausgeführt wird und die Details aller USB-Geräte aufzeichnet, die an Ihr System angeschlossen oder von diesem getrennt sind. Für jede von USBLogView erstellte Protokollzeile werden die folgenden Informationen angezeigt: Ereignistyp (Plug / Unplug), Ereigniszeit, Gerätename, Beschreibung, Gerätetyp, Laufwerksbuchstabe (für Speichergeräte), Seriennummer (nur für einige Gerätetypen) ), Lieferanten-ID, Produkt-ID, Lieferantenname, Produktname und mehr.
Das Einfügen von USB ist standardmäßig kein protokolliertes Ereignis in der Windows-Ereignisanzeige. Sie können Ereignisspuren für USB-Geräte mit logman erstellen, indem Sie die folgenden Schritte in diesem Technet-Artikel ausführen :
Geben Sie an einer administrativen Eingabeaufforderung Folgendes ein
logman create trace -n usbtrace -o %SystemRoot%\Tracing\usbtrace.etl -nb 128 640 -bs 128
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBXHCI (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-UCX (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB3 (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBPORT
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB
logman update trace -n usbtrace -p Microsoft-Windows-Kernel-IoTrace 0 2
logman start -n usbtrace
Dadurch wird eine Ablaufverfolgung unter% SystemRoot% \ Tracing \ usbtrace.etl erstellt
Dieses Protokoll kann zu groß werden, und das Protokollieren aller Aktivitäten für die USB-Stapel ist keine gute Idee zwischen mehreren Sitzungen. Dies dient eher zur Fehlerbehebung bei USB-Aktivitäten.
USB-Datenträger führen dazu, dass die Ereignis-ID 4688 beim Einfügen und Bereitstellen durch das Betriebssystem unter Windows> Sicherheit protokolliert wird. Dies reicht möglicherweise aus, aber es gibt keinen Protokolleintrag, wenn ein USB-Gerät angeschlossen ist. Wenn es sich um Wechseldatenträger handelt, können Sie die Überwachung über Gruppenrichtlinien wie hier beschrieben erzwingen :
Erzwingen Sie ein Gruppenrichtlinienobjekt mit den folgenden Optionen:
Computerkonfiguration> Sicherheitseinstellungen> Erweiterte Überwachungsrichtlinienkonfiguration > Objektzugriff> Wechseldatensatz überwachen> Kontrollkästchen für Erfolg (und Fehler, falls gewünscht) aktiviert.
Auf einem Gerät unter Windows 7 oder 10 werden mehrere Ereignisse in den Ereignisprotokollen aufgezeichnet, wenn Sie ein USB-Gerät an ein System anschließen, für das ein Treiber erforderlich ist.
Sie können sehen, ob USB-Geräte verbunden sind und wann sie getrennt werden, indem Sie die Ereignisanzeige verwenden, um das Ereignisprotokoll "Microsoft / Windows / DriverFrameworks-UserMode / Operational" zu analysieren. (Standardmäßig ist dieses Ereignisprotokoll nicht aktiviert. Wenn Sie also an einem Ereignis interessiert sind, das vor dem Aktivieren dieses Protokolls aufgetreten ist, haben Sie kein Glück.)
quelle