如何查看USB插入/拔出时的日志 – Windows11

本文推荐给以下人群：

• 想要检查 USB 连接到计算机的历史记录（日志）的人
• 想要长期保存USB使用历史（日志）的人
• 想要立即删除USB使用历史记录（日志）的人
• 想要通过查看日志来检查电脑是否识别USB的人

我们将详细说明如何在将 USB 连接到 PC 时检查日志。
通过检查这些日志，您可以检查 USB 使用历史记录（USB 连接历史记录）。

按如下方式检查该日志。

• 在事件查看器中插入和拔出 USB 时启用日志记录
• 在事件查看器中检查日志

在Windows的初始设置中，USB连接和断开时的日志被禁用（不保存）。
为了检查 USB 使用历史记录，您必须首先启用 USB 插入和拔出时的日志保存功能。

目录

第一步是在插入和拔出 USB 时启用日志保存。
请按照以下步骤更改事件查看器设置，以在连接和断开 USB 时保存日志。

1. 打开事件查看器
2. 打开应用程序和服务日志 > Microsoft > Windows > DriverFrameworks-UserMode > 操作
3. 单击右侧的启用日志记录

从这里开始，我们将使用实际屏幕详细说明如何在插入和拔出 USB 时启用日志保存。

步从“运行”打开事件查看器

键盘视窗钥匙和右按请。

屏幕左下角将出现一个标有“运行”的小窗口。

在其中类型 eventvwr进入请按

其他可以与“运行”一起使用的命令在“可以与“运行”一起使用的命令列表 - Windows 11”中有详细说明，所以如果您有兴趣，请看一下。

打开事件查看器

如果您看到如下所示的屏幕，则表示成功。
窗口的左上角显示“事件查看器”。

打开事件查看器

步进入操作日志

从此处移至保存 USB 插入和拔出日志的位置。

请从左侧的[应用程序和服务日志]开始按以下顺序进行操作。

Microsoft＞Windows＞DriverFrameworks-UserMode＞操作

进入操作日志

进入操作日志

进入操作日志

进入操作日志

进入操作日志

步启用操作日志

一旦进入“操作”状态，它就位于右侧。单击启用日志记录请。

启用操作日志

如果[启用日志]成功执行，屏幕顶部的“操作事件数 0（禁用）”将更改为“操作事件数 0”，右侧的“启用日志”将更改为“禁用日志”，如下图所示。

现在，从现在开始，断开和连接 USB 时的日志将保存在您的 PC 上。

启用日志存储之前的日志不会被记录和显示。

启用操作日志

如何查看USB插拔时的日志

接下来具体讲解一下如何查看USB插拔时的日志。

可以在事件查看器中查看 USB 插入和拔出时的日志。Microsoft > Windows > DriverFrameworks-UserMode > [应用程序和服务日志] 下的操作将会被拯救。

如果您想从资源管理器而不是事件查看器打开日志，请将以下字符串粘贴到资源管理器中。进入请按

C:WindowsSystem32winevtLogsMicrosoft-Windows-DriverFrameworks-UserMode%4Operational.evtx

USB插入PC时记录的日志

当您将 USB 插入 PC 时，事件查看器中将创建大约 18 个日志，如下所示。

更多阅读：如果本地组策略编辑器无法打开 Windows 11 主页该怎么办

酱	事件ID	任务类别
DriverFrameworks-用户模式	2003年	加载驱动程序以控制新发现的设备。
DriverFrameworks-用户模式	2010年	加载驱动程序以控制新发现的设备。
DriverFrameworks-用户模式	2004年	加载驱动程序以控制新发现的设备。
DriverFrameworks-用户模式	2006年	加载驱动程序以控制新发现的设备。
DriverFrameworks-用户模式	2100	对特定设备的 Pnp 或电源管理操作。
DriverFrameworks-用户模式	2105	对特定设备的 Pnp 或电源管理操作。
DriverFrameworks-用户模式	2106	对特定设备的 Pnp 或电源管理操作。
DriverFrameworks-用户模式	2101	对特定设备的 Pnp 或电源管理操作。
DriverFrameworks-用户模式	2100	对特定设备的 Pnp 或电源管理操作。
DriverFrameworks-用户模式	2102	对特定设备的 Pnp 或电源管理操作。

USB插入PC时记录的日志

USB插入PC时记录的日志

第一次创建事件ID 2003的日志是插入USB时的日志。请考虑一下。

以下是实际插入 Buffalo USB 存储器时创建的日志。

VEN_BUFFALO&PROD_USB_FLASH_DISK既然有记录，就可以大致看到PC上插的是什么。

ログの名前:         Microsoft-Windows-DriverFrameworks-UserMode/Operational
ソース:           Microsoft-Windows-DriverFrameworks-UserMode
日付:            2022/12/08 12:03:53
イベント ID:       2003
タスクのカテゴリ:      Loading drivers to control a newly discovered device.
レベル:           情報
キーワード:         
ユーザー:          LOCAL SERVICE
コンピューター:       MSI
説明:
UMDF ホスト プロセス ({9e63ab53-0e3a-4b2a-95a7-0084b48740e4}) は、デバイス SWDWPDBUSENUM_??_USBSTOR#DISK&VEN_BUFFALO&PROD_USB_FLASH_DISK&REV_1.00#0916100000CC11227B00000288&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} のドライバーを読み込むよう要求されました。

从 PC 拔出 USB 时记录的日志

当您从 PC 上拔下 USB 时，事件查看器中将创建大约 8 个日志。

酱	事件ID	任务类别
DriverFrameworks-用户模式	1008	驱动程序主机进程的关闭。
DriverFrameworks-用户模式	2901	驱动程序主机进程的关闭。
DriverFrameworks-用户模式	2900	驱动程序主机进程的关闭。
DriverFrameworks-用户模式	1006	驱动程序主机进程的关闭。
DriverFrameworks-用户模式	2102	对特定设备的 Pnp 或电源管理操作。
DriverFrameworks-用户模式	2100	对特定设备的 Pnp 或电源管理操作。

从 PC 拔出 USB 时记录的日志

从 PC 拔出 USB 时记录的日志

最后创建的事件ID 1008的日志是USB从PC拔出时的日志。请考虑一下。

以下是实际移除 Buffalo USB 存储器时创建的日志。

ログの名前:         Microsoft-Windows-DriverFrameworks-UserMode/Operational
ソース:           Microsoft-Windows-DriverFrameworks-UserMode
日付:            2022/12/08 12:14:15
イベント ID:       1008
タスクのカテゴリ:      Shutdown of a driver host process.
レベル:           情報
キーワード:         
ユーザー:          SYSTEM
コンピューター:       MSI
説明:
ホスト プロセス ({9e63ab53-0e3a-4b2a-95a7-0084b48740e4}) はシャットダウンされました。

如何更改插入和拔出 USB 时的日志保留期限

事件查看器的初始设置不允许您长时间保存日志，因此，如果出于审核等目的而在插入和拔出 USB 时需要长时间保存日志，则需要使用以下步骤更改从事件查看器保存的日志量。

默认情况下，Windows的最大日志大小为1,028KB，当存储容量已满时，最旧的日志将被删除。
由于一条日志大约为500字节，因此默认会保存大约2000条日志。

1. 打开事件查看器
2. 打开应用程序和服务日志 > Microsoft > Windows > DriverFrameworks-UserMode
3. 右键单击 DriverFrameworks-UserMode 中的“Operational”，然后单击“属性”
4. 选择最大日志大小（KB）以及日志达到最大日志大小时的行为，然后单击[确定]

从这里开始，我们将使用实际屏幕详细说明如何更改插入和拔出 USB 时保存的日志量以及如何更改周期。

步打开操作属性

由于 USB 插入和拔出时的日志保存在“操作”中，因此需要更改“操作”设置。

右键点击运行死亡，单击属性请。

有关如何进入“操作”状态的说明，请单击页面顶部的按钮。如何在插入和拔出 USB 时启用保存日志》的详细解释，请看一下。

打开操作属性

步选择最大日志大小以及日志达到最大日志大小时的行为，然后单击[确定]。

当您单击[属性]时，将弹出一个标有“日志属性-操作”的窗口。

他们之中指定最大日志大小请。

您还可以在此处配置日志达到最大日志大小时发生的情况。

如果您不希望事件消失，我们建议选择“存档日志而不覆盖事件”。

一旦你做出选择，它就在下面。单击“确定”并关闭窗口。

如果您想知道“我不需要单击“应用”吗？”，请查看此处的“确定按钮和应用按钮之间的区别”。

这允许您更改插入和拔出 USB 时的日志保留期限。

选择最大日志大小以及日志达到最大日志大小时的行为，然后单击[确定]。

如何删除 USB 插入和拔出时的所有日志（历史记录），并防止将来保存它

如果您不想保留到目前为止介绍的 USB 连接的日志（历史记录），请删除与 USB 连接相关的日志并禁用日志记录。

步删除与 USB 连接相关的所有日志（历史记录）

连接和断开 USB 时的日志（历史记录）为Microsoft>Windows>DriverFrameworks-UserMode>操作操作的内容必须删除。

在事件查看器中Microsoft>Windows>DriverFrameworks-UserMode>操作转到右侧点击【清除日志】请。

有关如何进入“操作”状态的说明，请单击页面顶部的按钮。如何在插入和拔出 USB 时启用保存日志》的详细解释，请看一下。

如何删除 USB 插入和拔出时的所有日志（历史记录），并防止将来保存它

当您单击[清除日志]时，将出现一个窗口，显示“您可以在清除此日志之前保存该日志的内容”。

如果要保存，请点击【保存并删除】死亡，点击【删除】即可删除而不保存。请。

如何删除 USB 插入和拔出时的所有日志（历史记录），并防止将来保存它

点击【删除】将删除操作中的所有日志。

步连接/拔出 USB 时禁用日志（历史记录）保存

删除所有 USB 插拔时的日志（历史记录）后，下一步是禁止保存 USB 插拔时的日志（历史记录）。
通过禁用它，将不会保存与 USB 相关的后续日志（历史记录）。

在事件查看器屏幕的右侧。单击禁用日志记录请。

如何删除 USB 插入和拔出时的所有日志（历史记录），并防止将来保存它

如果[禁用日志]成功执行，屏幕顶部的“操作事件数0”将更改为“操作事件数0（禁用）”，如下图所示，右侧的“禁用日志”将更改为“启用日志”。

从现在起，PC上将不再保存连接和断开USB的日志（历史记录）。

如何删除 USB 插入和拔出时的所有日志（历史记录），并防止将来保存它

常问问题

即使启用日志保存，USB 使用历史记录也不会显示在日志中。

启用日志保存后可能不会立即生效。请等待一两分钟，然后尝试刷新事件查看器屏幕。

有时拔掉 USB 后日志不会保存。

如果在套筒状态下拔出 USB，日志可能无法正确保存。如果您想确保日志保留，请禁用计算机上的套筒模式。

存档事件日志（Windows 日志）存储在哪里？

存档的事件日志保存在以下文件夹中。
C:WindowsSystem32winevtLogs

即使插入智能手机的充电线也会被录音吗？

如果仅连接和断开充电线，则不会留下任何日志。
将智能手机插入充电线后，就会留下一条日志。对于 iPhone，插入时会保留以下日志。

拔掉插头后，事件 ID 1008 仍然存在，就像 USB 存储器一样。

UMDF ホストにより、ドライバー AppleUsbFilter がレベル 0 でデバイス USBVID_05AC&PID_12A8&MI_016&2EE54954&1&0001 用に読み込まれています。

即使在Windows XP中也可以保存USB连接和断开的日志吗？

据说与USB插入和拔出相关的日志是Windows Vista中引入的功能，因此可能无法在较旧的操作系统上保存它们。

USB插拔日志远大于实际插拔次数。

可能是由于USB连接不良而导致重复连接和断开。尝试使用另一个 USB 或 USB 端口。

所有与 USB 插入和拔出相关的日志以及本应保存的其他日志均已从事件查看器中删除。

除了从事件查看器中一次性删除所有日志之外，某些磁盘清理软件（例如 CCleaner）还具有一项功能，只需选中一个复选框即可删除 Windows 日志。请检查您是否正在使用任何此类软件。

其他 Windows 日志（历史）文章

事件查看器包含各种 Windows 操作的日志（记录）。
如果您对“计算机上存储了什么样的日志（历史记录）？”感兴趣，请看一下。

与 Windows 11 相关的其他文章

点击此处查看与Windows 11相关的其他文章，请查看。