none
windows 2003/2008 如何能够在事件查看器中看到USB可移动存储插拔日志记录? RRS feed

  • 问题

  • 因为内部安全监管需要,要查询windows服务器上插拔USB可移动存储的日志,可是查遍整个事件查看器也没有相应的日志,是否需要在系统上做什么配置才能记录USB插拔日志呢?

    恳请windows大神帮忙解答,非常感谢!

    2018年4月10日 7:06

答案

  • 你好,
    对于windows server2003 ,微软已经不再技术支持。
    通常来说,将USB可移动存储设备连接到Windows系统时,在事件查看器的Microsoft-Windows-DriverFrameworks-UserMode / Operational目录下面中生成大量事件记录。记录包括事件ID为2003,2004,2005,2010,2100,2105等的记录。一些生成的事件记录包含有关已连接的USB设备的标识信息。
    你可以根据日志的生成时间以及日志的详细描述里找到usb设备的序列号来判断usb插拔的相关信息。
    (这个日志需要手动确认是否开启)

    Best Regards,

    Frank


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 梁莉莉 2018年4月11日 9:55
    2018年4月11日 3:48
    版主

全部回复

  • 你好,
    对于windows server2003 ,微软已经不再技术支持。
    通常来说,将USB可移动存储设备连接到Windows系统时,在事件查看器的Microsoft-Windows-DriverFrameworks-UserMode / Operational目录下面中生成大量事件记录。记录包括事件ID为2003,2004,2005,2010,2100,2105等的记录。一些生成的事件记录包含有关已连接的USB设备的标识信息。
    你可以根据日志的生成时间以及日志的详细描述里找到usb设备的序列号来判断usb插拔的相关信息。
    (这个日志需要手动确认是否开启)

    Best Regards,

    Frank


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 梁莉莉 2018年4月11日 9:55
    2018年4月11日 3:48
    版主
  • 非常感谢解答!

    根据您提供的思路,经过验证发现,win2003和2008要在服务器管理器添加功能,安装一个“桌面体验功能”功能,才能在Microsoft-Windows-DriverFrameworks-UserMode / Operational产生USB事件,与大家分享一下。

    2018年4月11日 9:54