USBの抜き差しのイベントログ
方法
- イベントビューアーを起動する
- WIN+Rキーを押して、eventvwr.mscと入力する
- 左ペインからメニューをたどり、アプリケーションとサービスログ → Microsoft → Windows → DriverFrameworks-UserMode → Operational を開く
- Application and Services Logs > Microsoft > Windows > DriverFrameworks-UserMode > Operational
- デフォルトではログは無効化されているので、右ペインの操作から、「ログの有効化」を行う
- これでログが有効化されたので、USBメモリースティックを抜き差しするなどしたあとに、Operationalのログを右ペインの操作で「最新の情報に更新」してみて、ログが表示されるのを確認する
- なお、有効化した直後は上手くログが表示されないことがあった。1-2分で表示されたが、そういう仕様なのかもしれない。
- また、ログの有効化は再起動するとデフォルトに戻るかもしれない。その場合、グループポリシーを設定する必要があるかもしれない。
PowerShellでログが有効化されているか確認
$LogName = "Microsoft-Windows-DriverFrameworks-UserMode/Operational"
$CurrentConfig = Get-WinEvent -ListLog $LogName
$currentConfig.isEnabled
イベントログの詳細について
ログの場所:アプリケーションとサービスログ-Microsoft-Windows-DriverFrameworks-UserMode/Operational
ソース:DriverFrameworks-UserMode
イベントID(usb挿入):2003, 2004, 2005, 2010, 2100, 2105など
イベントID(USB抜取):2100, 2102など
参考