누군가 Windows 시스템에 USB 장치를 연결하거나 제거 할 때 로깅

11

나는 현재 로그인하는 방법을 찾기 위해 노력하고 모든 우리의 네트워크에서 Windows 시스템의 모든에서 연결 및 USB 장치의 단선을. 이 정보는 머신의 파일에 자동으로 기록되어야합니다.이 파일은 nxlog로 읽은 다음 중앙 로깅 플랫폼으로 보내져 처리됩니다. 이 정보가 Windows 로그에 의해 자동으로 기록되기를 바랐지만 USB 이동식 저장 장치에 대한 일부 정보가 이벤트 뷰어에 기록되는 것처럼 보이지만 이는 정보가 매우 제한적이며 USB 키보드 및 마우스가있을 때 선택되지 않습니다. 연결 및 연결 해제

약간의 파고 끝에 nirsoft가 많은 노력을 기울이는 작은 exe를 작성했음을 발견했습니다 .USBLogView는 설치하지 않고 실행할 수 있으며 USB 장치가 기계에 연결되고 연결이 끊어 질 때마다 기록됩니다. 이것의 문제는 이것을 서비스로 실행하는 방법을 볼 수 없으며, 로그 항목을 선택하고 수동으로 선택할 수 있지만 로그 파일에 출력되는 정보를 자동으로 기록하는 방법을 볼 수 없다는 것입니다 로그 파일에 저장되었습니다.

그룹 정책을 사용하여 exe 파일의 로컬 복사본을 만든 다음 시작 중에이 exe를 강제로 실행할 수는 있지만 파일에 자동으로 기록 된 로그를 가져올 수없는 주요 문제는 여전히 극복해야합니다. 또한 사용자가 프로그램을 닫을 수 없도록해야합니다. 프로그램을 직접 시작할 때 가능합니다. 이상적으로는 숨겨져 있고 트레이 아이콘을 표시하지 않는 것이 가장 좋은 방법입니다. (숨겨진 설정을 사용해 보았을 때 기본 창에 표시되거나 시스템 트레이 아이콘이 표시되는 것 같습니다). 웹 사이트를 보았지만이를 수행 할 수있는 옵션으로 프로그램을 호출하는 방법을 찾지 못했습니다. 나는 또한 지난주에 nirsoft에게 이메일로 조언이 있는지 확인하기 위해 이메일을 보냈지 만 여전히 답변을 기다리고 있습니다.

누구든지 이것을 할 수있는 대안이 있습니까? 어떤 제안이나 환영합니다! 감사

windows  usb  logging 
럼블
소스

답변:

2

예를 들어 유료 솔루션이 있습니다. CoSoSys의 EndProtection4. 장치에 설치된 에이전트 내에서 어떻게 작동하는지 모르지만 연결된 장치에 대한 모든 정보를 제공합니다. 장치에 대한 액세스를 관리하는 소프트웨어이므로 클라이언트를 관리하는 서버 측이 필요합니다. Mac 및 Linux에서도 작동합니다.

바르 토츠 뎁 스키
소스
3

USB 장치의 연결 및 연결 해제가 "이벤트 로그"에 기록됩니다.

자세한 설명 인용 ( "디지털 포렌직 스트림"블로그, 2014-01-02, Windows 7 이벤트 로그 및 USB 장치 추적 ) :

연결 이벤트 ID
USB 이동식 저장 장치가 Windows 7 시스템에 연결된 경우 Microsoft-Windows-DriverFrameworks-UserMode / Operational 이벤트 로그에 많은 이벤트 레코드가 생성되어야합니다. 레코드에는 이벤트 ID 2003, 2004, 2005, 2010, 2100, 2105 등이 포함됩니다. ...

연결 해제 이벤트 ID
Windows 7 시스템에서 USB 썸 드라이브 연결이 끊어지면 연결 이벤트와 동일한 이벤트 로그에 몇 개의 이벤트 레코드가 생성되어야합니다. USB 장치 연결이 끊어지면 이벤트 ID가 2100, 2102 이상인 레코드가 생성 될 수 있습니다. ...

이벤트 로그에서 내보내기를 자동화 하기 위해 Microsoft는 로그 파서 를 무료로 제공합니다 .

습지대
소스
2
답장을 보내 주셔서 감사합니다. 제 질문에서 말했듯이 이벤트 뷰어는 USB 저장 장치를 연결할 때 표시하지만 키보드와 같은 USB 장치는 표시하지 않습니다. USB 저장 장치뿐만 아니라 모든 USB 장치에 대한 정보를 수집하고 싶습니다.
럼블
@Rumbles 당신은 올바른 로그를보고 확신하십니까? 위에 명명 된 로그는 "일반적인"로그가 아닙니다. 반면, 위에서 명명 된 로그에는 UMDF 드라이버가 처리하는 장치에 대한 정보 만 포함됩니다. KMDF 드라이버 및 비 프레임 워크 드라이버가 아닙니다.
Jamie Hanrahan
1
난 안 확인, 그것의 뭔가 내가 한 동안에보고하지 않은, 그리고 (만세!) 이제 Windows 데스크톱 컴퓨터와 이후 변경 작업과 거의 작업을 할 수 있습니다
대두
이 로그를 활성화 할 때 저장 장치는 볼 수 있지만 USB 마우스는 볼 수 없습니다.
Tyler Szabo
0

AutoIT와 같은 도구를 사용해보십시오.

$vFile = FileOpen("usb.txt", 2)

Local $vObjWMI = ObjGet("winmgmts:\\" & @ComputerName & "\root\cimv2")

$vObjItems = $vObjWMI.ExecQuery('SELECT * FROM Win32_DiskDrive')
If IsObj($vObjItems) Then
    For $vObjItem In $vObjItems
        If StringInStr($vObjItem.Caption, "USB") Then
            FileWriteLine($vFile, $vObjItem.Caption & @CRLF)
            FileWriteLine($vFile, $vObjItem.DeviceID & @CRLF & @CRLF)
        EndIf
    Next
EndIf

FileClose($vFile)

ShellExecute("usb.txt")

이 포럼은 AutoIT 포럼에 있습니다. http://www.autoitscript.com/forum/topic/155213-detect-usb-devices-connected/?p=1121434

라일리 차일드
소스
0

다음 항목을 사용 regedit하고 살펴보십시오 .. 자세한 내용은 PowerShell을 열고 다음을 실행하십시오. registryHKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\

$Path = 'HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*'
Get-ItemProperty -Path $Path | Select-Object -Property FriendlyName, CompatibleIDs, Mfg

또는 여기에서 로그 파일을보십시오 : C:\Windows\inf\setupapi.dev.log.

자세한 기술 정보는 Nicoles 블로그를 참조하십시오 .

not2qubit
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.