J'utilise Windows 10 et je voudrais trouver des journaux des insertions USB récentes sur mon bureau. À l'aide de l'Observateur d'événements intégré, où puis-je trouver ces journaux?
Je ne suis pas au courant d'une liste complète, alors exécutez un outil appelé EventGhost . Lorsqu'un appareil est connecté ou retiré, vous voyez un événement sur le côté gauche.
Il comprend une chaîne avec l'ID matériel. Recherchez l'ID de votre souris
Selon la réponse de scottschlaefli, Windows n'enregistre pas cet événement par défaut. Cependant, vous pouvez le faire avec un utilitaire tiers. Celui que j'ai trouvé utile pour enregistrer l'activité USB: http://www.nirsoft.net/utils/usb_log_view.html
USBLogView est un petit utilitaire qui s'exécute en arrière-plan et enregistre les détails de tout périphérique USB qui est branché ou débranché sur votre système. Pour chaque ligne de journal créée par USBLogView, les informations suivantes s'affichent: Type d'événement (Plug / Unplug), Heure de l'événement, Nom du périphérique, Description, Type de périphérique, Lettre de lecteur (pour les périphériques de stockage), Numéro de série (uniquement pour certains types de périphériques ), ID du fournisseur, ID du produit, nom du fournisseur, nom du produit, etc.
L'insertion USB n'est pas un événement enregistré dans l'Observateur d'événements Windows par défaut. Vous pouvez créer des traces d'événements pour les périphériques USB à l'aide de logman en suivant ces étapes situées dans cet article Technet :
Dans une invite de commande d'administration, entrez ce qui suit
logman create trace -n usbtrace -o %SystemRoot%\Tracing\usbtrace.etl -nb 128 640 -bs 128
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBXHCI (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-UCX (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB3 (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBPORT
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB
logman update trace -n usbtrace -p Microsoft-Windows-Kernel-IoTrace 0 2
logman start -n usbtrace
Cela créera une trace dans% SystemRoot% \ Tracing \ usbtrace.etl
Ce journal peut devenir excessivement volumineux et la journalisation de toutes les activités pour les piles USB ne sera pas une bonne idée entre plusieurs sessions, c'est plus pour dépanner l'activité USB.
Les disques USB entraîneront la journalisation de l'ID d'événement 4688 dans Windows> Sécurité lorsqu'ils sont insérés et montés par le système d'exploitation, cela suffit peut-être, mais il n'y a pas d'entrée de journal chaque fois qu'un périphérique USB est connecté. Si le problème concerne les périphériques de stockage amovibles, vous pouvez appliquer l'audit via la stratégie de groupe, comme décrit ici :
Appliquez un GPO avec les éléments suivants:
Configuration de l'ordinateur> Paramètres de sécurité> Configuration avancée de la stratégie d'audit> Accès aux objets> Audit du stockage amovible> Réussite (et échec si vous le souhaitez) cases à cocher d'événement d'audit cochées.
Sur un appareil exécutant Windows 7 ou 10, plusieurs événements sont enregistrés dans les journaux d'événements lorsque vous connectez un périphérique USB à un système qui nécessite un pilote.
Vous pouvez voir les périphériques USB connectés et voir quand ils sont déconnectés en utilisant l'Observateur d'événements pour analyser le journal des événements: "Microsoft / Windows / DriverFrameworks-UserMode / Operational". (Par défaut, ce journal des événements n'est pas activé, donc si vous êtes intéressé par un événement qui s'est produit avant d'activer ce journal, vous n'avez pas de chance.)
la source