Estoy usando Windows 10 y me gustaría encontrar registros de inserciones USB recientes en mi escritorio. Usando el Visor de eventos integrado, ¿dónde puedo encontrar estos registros?
No conozco una lista completa, así que ejecuta una herramienta llamada EventGhost . Cuando se conecta o quita un dispositivo, ve un evento en el lado izquierdo.
Incluye una cadena con la identificación del hardware. Busque la identificación de su mouse
Según la respuesta de scottschlaefli, Windows no registra este evento de manera predeterminada. Sin embargo, puede hacerlo con una utilidad de terceros. Una que he encontrado útil para registrar la actividad USB: http://www.nirsoft.net/utils/usb_log_view.html
USBLogView es una pequeña utilidad que se ejecuta en segundo plano y registra los detalles de cualquier dispositivo USB que esté conectado o desconectado en su sistema. Para cada línea de registro creada por USBLogView, se muestra la siguiente información: Tipo de evento (conectar / desconectar), hora del evento, nombre del dispositivo, descripción, tipo de dispositivo, letra de unidad (para dispositivos de almacenamiento), número de serie (solo para algunos tipos de dispositivos ), ID del proveedor, ID del producto, Nombre del proveedor, Nombre del producto y más.
La inserción de USB no es un evento registrado en el visor de eventos de Windows de forma predeterminada. Puede crear rastreos de eventos para dispositivos USB utilizando logman siguiendo estos pasos ubicados en este artículo de Technet :
En un símbolo del sistema administrativo ingrese lo siguiente
logman create trace -n usbtrace -o %SystemRoot%\Tracing\usbtrace.etl -nb 128 640 -bs 128
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBXHCI (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-UCX (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB3 (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBPORT
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB
logman update trace -n usbtrace -p Microsoft-Windows-Kernel-IoTrace 0 2
logman start -n usbtrace
Esto creará una traza en% SystemRoot% \ Tracing \ usbtrace.etl
Este registro puede ser excesivamente grande y registrar toda la actividad de las pilas USB no será una buena idea entre varias sesiones, esto es más para solucionar problemas de la actividad USB.
Los discos USB harán que el evento ID 4688 se registre en Windows> Seguridad cuando el sistema operativo los inserte y los monte, tal vez sea suficiente, pero no hay una entrada de registro cada vez que se conecta un dispositivo USB. Si la preocupación son los dispositivos de almacenamiento extraíbles, puede aplicar la auditoría a través de la Política de grupo como se describe aquí :
Haga cumplir un GPO con lo siguiente:
Configuración del equipo> Configuración de seguridad> Configuración avanzada de la política de auditoría> Acceso a objetos> Auditoría de almacenamiento extraíble> Casillas de evento de auditoría de éxito (y error si lo desea) marcadas.
En un dispositivo con Windows 7 o 10, se registran varios eventos en los registros de eventos cuando se conecta un dispositivo USB a un sistema que requiere un controlador.
Puede ver los dispositivos USB conectados, así como ver cuándo están desconectados mediante el Visor de eventos para analizar el registro de eventos: "Microsoft / Windows / DriverFrameworks-UserMode / Operational". (De manera predeterminada, este registro de eventos no está habilitado, por lo que si está interesado en un evento que ocurrió antes de habilitar este registro, no tiene suerte).
fuente