#author("2020-03-07T12:33:26+09:00","default:ryuichi","ryuichi")
#author("2020-03-07T12:36:55+09:00","default:ryuichi","ryuichi")
* USBの抜き差しのイベントログ [#y1f7b1a4]

** 方法 [#nb99f6b4]

- イベントビューアーを起動する
-- WIN+Rキーを押して、'''eventvwr.msc'''と入力する
- 左ペインからメニューをたどり、アプリケーションとサービスログ → Microsoft → Windows → DriverFrameworks-UserMode → Operational を開く
-- Application and Services Logs > Microsoft > Windows > DriverFrameworks-UserMode > Operational
- デフォルトではログは無効化されているので、右ペインの操作から、「ログの有効化」を行う
- これでログが有効化されたので、USBメモリースティックを抜き差しするなどしたあとに、Operationalのログを右ペインの操作で「最新の情報に更新」してみて、ログが表示されるのを確認する
- なお、有効化した直後は上手くログが表示されないことがあった。1-2分で表示されたが、そういう仕様なのかもしれない。
- また、ログの有効化は再起動するとデフォルトに戻るかもしれない。その場合、グループポリシーを設定する必要があるかもしれない。

** PowerShellでログが有効化されているか確認 [#v10ba6f5]

 $LogName = "Microsoft-Windows-DriverFrameworks-UserMode/Operational"
 $CurrentConfig = Get-WinEvent -ListLog $LogName
 $currentConfig.isEnabled

** イベントログの詳細について [#t51013f4]

 ログの場所:アプリケーションとサービスログ-Microsoft-Windows-DriverFrameworks-UserMode/Operational 
 ソース:DriverFrameworks-UserMode
 イベントID(usb挿入):2003, 2004, 2005, 2010, 2100, 2105など
 イベントID(USB抜取):2100, 2102など


** 参考 [#a73dd8b1]

- https://www.techrepublic.com/article/how-to-track-down-usb-flash-drive-usage-in-windows-10s-event-viewer/
- https://community.spiceworks.com/topic/2144156-enabling-driverframeworks-usermode-event-viewer-logging-via-gpo

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS