USBの抜き差しのイベントログ

方法

• イベントビューアーを起動する
  • WIN+Rキーを押して、eventvwr.mscと入力する
• 左ペインからメニューをたどり、アプリケーションとサービスログ → Microsoft → Windows → DriverFrameworks-UserMode → Operational を開く
  • Application and Services Logs > Microsoft > Windows > DriverFrameworks-UserMode > Operational
• デフォルトではログは無効化されているので、右ペインの操作から、「ログの有効化」を行う
• これでログが有効化されたので、USBメモリースティックを抜き差しするなどしたあとに、Operationalのログを右ペインの操作で「最新の情報に更新」してみて、ログが表示されるのを確認する
• なお、有効化した直後は上手くログが表示されないことがあった。1-2分で表示されたが、そういう仕様なのかもしれない。
• また、ログの有効化は再起動するとデフォルトに戻るかもしれない。その場合、グループポリシーを設定する必要があるかもしれない。

PowerShellでログが有効化されているか確認

 $LogName = "Microsoft-Windows-DriverFrameworks-UserMode/Operational"
 $CurrentConfig = Get-WinEvent -ListLog $LogName
 $currentConfig.isEnabled

イベントログの詳細について

 ログの場所：アプリケーションとサービスログ-Microsoft-Windows-DriverFrameworks-UserMode/Operational 
 ソース：DriverFrameworks-UserMode
 イベントID(usb挿入)：2003, 2004, 2005, 2010, 2100, 2105など
 イベントID(USB抜取)：2100, 2102など

参考

• https://www.techrepublic.com/article/how-to-track-down-usb-flash-drive-usage-in-windows-10s-event-viewer/
• https://community.spiceworks.com/topic/2144156-enabling-driverframeworks-usermode-event-viewer-logging-via-gpo