如何查看USB插入/拔出時的日誌 – Windows11
本文推薦給以下人群:
- 想要檢查 USB 連接到計算機的歷史記錄(日誌)的人
- 想要長期保存USB使用歷史(日誌)的人
- 想要立即刪除USB使用歷史記錄(日誌)的人
- 想要通過查看日誌來檢查電腦是否識別USB的人
我們將詳細說明如何在將 USB 連接到 PC 時檢查日誌。
通過檢查這些日誌,您可以檢查 USB 使用歷史記錄(USB 連接歷史記錄)。
按如下方式檢查該日誌。
- 在事件查看器中插入和拔出 USB 時啟用日誌記錄
- 在事件查看器中檢查日誌
在Windows的初始設置中,USB連接和斷開時的日誌被禁用(不保存)。
為了檢查 USB 使用歷史記錄,您必須首先啟用 USB 插入和拔出時的日誌保存功能。
目錄
第一步是在插入和拔出 USB 時啟用日誌保存。
請按照以下步驟更改事件查看器設置,以在連接和斷開 USB 時保存日誌。
- 打開事件查看器
- 打開應用程序和服務日誌 > Microsoft > Windows > DriverFrameworks-UserMode > 操作
- 單擊右側的啟用日誌記錄
從這裡開始,我們將使用實際屏幕詳細說明如何在插入和拔出 USB 時啟用日誌保存。
步從“運行”打開事件查看器
鍵盤視窗鑰匙和右按請。
屏幕左下角將出現一個標有“運行”的小窗口。
在其中類型 eventvwr進入請按
其他可以與“運行”一起使用的命令在“可以與“運行”一起使用的命令列表 - Windows 11”中有詳細說明,所以如果您有興趣,請看一下。
如果您看到如下所示的屏幕,則表示成功。
窗口的左上角顯示“事件查看器”。
打開事件查看器
步進入操作日誌
從此處移至保存 USB 插入和拔出日誌的位置。
請從左側的[應用程序和服務日誌]開始按以下順序進行操作。
Microsoft>Windows>DriverFrameworks-UserMode>操作
進入操作日誌
進入操作日誌
進入操作日誌
進入操作日誌
進入操作日誌
步啟用操作日誌
一旦進入“操作”狀態,它就位於右側。單擊啟用日誌記錄請。
啟用操作日誌
如果[啟用日誌]成功執行,屏幕頂部的“操作事件數 0(禁用)”將更改為“操作事件數 0”,右側的“啟用日誌”將更改為“禁用日誌”,如下圖所示。
現在,從現在開始,斷開和連接 USB 時的日誌將保存在您的 PC 上。
啟用日誌存儲之前的日誌不會被記錄和顯示。
啟用操作日誌
如何查看USB插拔時的日誌
接下來具體講解一下如何查看USB插拔時的日誌。
可以在事件查看器中查看 USB 插入和拔出時的日誌。Microsoft > Windows > DriverFrameworks-UserMode > [應用程序和服務日誌] 下的操作將會被拯救。
如果您想從資源管理器而不是事件查看器打開日誌,請將以下字符串粘貼到資源管理器中。進入請按
C:WindowsSystem32winevtLogsMicrosoft-Windows-DriverFrameworks-UserMode%4Operational.evtxUSB插入PC時記錄的日誌
當您將 USB 插入 PC 時,事件查看器中將創建大約 18 個日誌,如下所示。
| 醬 | 事件ID | 任務類別 |
|---|---|---|
| DriverFrameworks-用戶模式 | 2003年 | 加載驅動程序以控制新發現的設備。 |
| DriverFrameworks-用戶模式 | 2010年 | 加載驅動程序以控制新發現的設備。 |
| DriverFrameworks-用戶模式 | 2004年 | 加載驅動程序以控制新發現的設備。 |
| DriverFrameworks-用戶模式 | 2006年 | 加載驅動程序以控制新發現的設備。 |
| DriverFrameworks-用戶模式 | 2100 | 對特定設備的 Pnp 或電源管理操作。 |
| DriverFrameworks-用戶模式 | 2105 | 對特定設備的 Pnp 或電源管理操作。 |
| DriverFrameworks-用戶模式 | 2106 | 對特定設備的 Pnp 或電源管理操作。 |
| DriverFrameworks-用戶模式 | 2101 | 對特定設備的 Pnp 或電源管理操作。 |
| DriverFrameworks-用戶模式 | 2100 | 對特定設備的 Pnp 或電源管理操作。 |
| DriverFrameworks-用戶模式 | 2102 | 對特定設備的 Pnp 或電源管理操作。 |
USB插入PC時記錄的日誌
USB插入PC時記錄的日誌
第一次創建事件ID 2003的日誌是插入USB時的日誌。請考慮一下。
以下是實際插入 Buffalo USB 存儲器時創建的日誌。
VEN_BUFFALO&PROD_USB_FLASH_DISK既然有記錄,就可以大致看到PC上插的是什麼。
ログの名前: Microsoft-Windows-DriverFrameworks-UserMode/Operational
ソース: Microsoft-Windows-DriverFrameworks-UserMode
日付: 2022/12/08 12:03:53
イベント ID: 2003
タスクのカテゴリ: Loading drivers to control a newly discovered device.
レベル: 情報
キーワード:
ユーザー: LOCAL SERVICE
コンピューター: MSI
説明:
UMDF ホスト プロセス ({9e63ab53-0e3a-4b2a-95a7-0084b48740e4}) は、デバイス SWDWPDBUSENUM_??_USBSTOR#DISK&VEN_BUFFALO&PROD_USB_FLASH_DISK&REV_1.00#0916100000CC11227B00000288&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} のドライバーを読み込むよう要求されました。從 PC 拔出 USB 時記錄的日誌
當您從 PC 上拔下 USB 時,事件查看器中將創建大約 8 個日誌。
| 醬 | 事件ID | 任務類別 |
|---|---|---|
| DriverFrameworks-用戶模式 | 1008 | 驅動程序主機進程的關閉。 |
| DriverFrameworks-用戶模式 | 2901 | 驅動程序主機進程的關閉。 |
| DriverFrameworks-用戶模式 | 2900 | 驅動程序主機進程的關閉。 |
| DriverFrameworks-用戶模式 | 1006 | 驅動程序主機進程的關閉。 |
| DriverFrameworks-用戶模式 | 2102 | 對特定設備的 Pnp 或電源管理操作。 |
| DriverFrameworks-用戶模式 | 2100 | 對特定設備的 Pnp 或電源管理操作。 |
從 PC 拔出 USB 時記錄的日誌
從 PC 拔出 USB 時記錄的日誌
最後創建的事件ID 1008的日誌是USB從PC拔出時的日誌。請考慮一下。
以下是實際移除 Buffalo USB 存儲器時創建的日誌。
ログの名前: Microsoft-Windows-DriverFrameworks-UserMode/Operational
ソース: Microsoft-Windows-DriverFrameworks-UserMode
日付: 2022/12/08 12:14:15
イベント ID: 1008
タスクのカテゴリ: Shutdown of a driver host process.
レベル: 情報
キーワード:
ユーザー: SYSTEM
コンピューター: MSI
説明:
ホスト プロセス ({9e63ab53-0e3a-4b2a-95a7-0084b48740e4}) はシャットダウンされました。如何更改插入和拔出 USB 時的日誌保留期限
事件查看器的初始設置不允許您長時間保存日誌,因此,如果出於審核等目的而在插入和拔出 USB 時需要長時間保存日誌,則需要使用以下步驟更改從事件查看器保存的日誌量。
默認情況下,Windows的最大日誌大小為1,028KB,當存儲容量已滿時,最舊的日誌將被刪除。
由於一條日誌大約為500字節,因此默認會保存大約2000條日誌。
- 打開事件查看器
- 打開應用程序和服務日誌 > Microsoft > Windows > DriverFrameworks-UserMode
- 右鍵單擊 DriverFrameworks-UserMode 中的“Operational”,然後單擊“屬性”
- 選擇最大日誌大小(KB)以及日誌達到最大日誌大小時的行為,然後單擊[確定]
從這裡開始,我們將使用實際屏幕詳細說明如何更改插入和拔出 USB 時保存的日誌量以及如何更改週期。
步打開操作屬性
由於 USB 插入和拔出時的日誌保存在“操作”中,因此需要更改“操作”設置。
參見:【Windows 11】如何優先考慮性能,讓你的電腦運行更流暢
右鍵點擊運行死亡,單擊屬性請。
有關如何進入“操作”狀態的說明,請單擊頁面頂部的按鈕。如何在插入和拔出 USB 時啟用保存日誌”的詳細解釋,請看一下。
打開操作屬性
步選擇最大日誌大小以及日誌達到最大日誌大小時的行為,然後單擊[確定]。
當您單擊[屬性]時,將彈出一個標有“日誌屬性-操作”的窗口。
他們之中指定最大日誌大小請。
您還可以在此處配置日誌達到最大日誌大小時發生的情況。
如果您不希望事件消失,我們建議選擇“存檔日誌而不覆蓋事件”。
一旦你做出選擇,它就在下面。單擊“確定”並關閉窗口。
如果您想知道“我不需要單擊“應用”嗎?”,請查看此處的“確定按鈕和應用按鈕之間的區別”。
這允許您更改插入和拔出 USB 時的日誌保留期限。
選擇最大日誌大小以及日誌達到最大日誌大小時的行為,然後單擊[確定]。
如何刪除 USB 插入和拔出時的所有日誌(歷史記錄),並防止將來保存它
如果您不想保留到目前為止介紹的 USB 連接的日誌(歷史記錄),請刪除與 USB 連接相關的日誌並禁用日誌記錄。
步刪除與 USB 連接相關的所有日誌(歷史記錄)
連接和斷開 USB 時的日誌(歷史記錄)為Microsoft>Windows>DriverFrameworks-UserMode>操作操作的內容必須刪除。
在事件查看器中Microsoft>Windows>DriverFrameworks-UserMode>操作轉到右側點擊【清除日誌】請。
有關如何進入“操作”狀態的說明,請單擊頁面頂部的按鈕。如何在插入和拔出 USB 時啟用保存日誌”的詳細解釋,請看一下。
如何刪除 USB 插入和拔出時的所有日誌(歷史記錄),並防止將來保存它
當您單擊[清除日誌]時,將出現一個窗口,顯示“您可以在清除此日誌之前保存該日誌的內容”。
如果要保存,請點擊【保存並刪除】死亡,點擊【刪除】即可刪除而不保存。請。
如何刪除 USB 插入和拔出時的所有日誌(歷史記錄),並防止將來保存它
點擊【刪除】將刪除操作中的所有日誌。
步連接/拔出 USB 時禁用日誌(歷史記錄)保存
刪除所有 USB 插拔時的日誌(歷史記錄)後,下一步是禁止保存 USB 插拔時的日誌(歷史記錄)。
通過禁用它,將不會保存與 USB 相關的後續日誌(歷史記錄)。
在事件查看器屏幕的右側。單擊禁用日誌記錄請。
如何刪除 USB 插入和拔出時的所有日誌(歷史記錄),並防止將來保存它
如果[禁用日誌]成功執行,屏幕頂部的“操作事件數0”將更改為“操作事件數0(禁用)”,如下圖所示,右側的“禁用日誌”將更改為“啟用日誌”。
從現在起,PC上將不再保存連接和斷開USB的日誌(歷史記錄)。
如何刪除 USB 插入和拔出時的所有日誌(歷史記錄),並防止將來保存它
常問問題
即使啟用日誌保存,USB 使用歷史記錄也不會顯示在日誌中。
啟用日誌保存後可能不會立即生效。請等待一兩分鐘,然後嘗試刷新事件查看器屏幕。
有時拔掉 USB 後日誌不會保存。
如果在套筒狀態下拔出 USB,日誌可能無法正確保存。如果您想確保日誌保留,請禁用計算機上的套筒模式。
存檔事件日誌(Windows 日誌)存儲在哪裡?
存檔的事件日誌保存在以下文件夾中。C:WindowsSystem32winevtLogs
即使插入智能手機的充電線也會被錄音嗎?
如果僅連接和斷開充電線,則不會留下任何日誌。
將智能手機插入充電線後,就會留下一條日誌。對於 iPhone,插入時會保留以下日誌。
拔掉插頭後,事件 ID 1008 仍然存在,就像 USB 存儲器一樣。
UMDF ホストにより、ドライバー AppleUsbFilter がレベル 0 でデバイス USBVID_05AC&PID_12A8&MI_016&2EE54954&1&0001 用に読み込まれています。即使在Windows XP中也可以保存USB連接和斷開的日誌嗎?
據說與USB插入和拔出相關的日誌是Windows Vista中引入的功能,因此可能無法在較舊的操作系統上保存它們。
USB插拔日誌遠大於實際插拔次數。
可能是由於USB連接不良而導致重複連接和斷開。嘗試使用另一個 USB 或 USB 端口。
所有與 USB 插入和拔出相關的日誌以及本應保存的其他日誌均已從事件查看器中刪除。
除了從事件查看器中一次性刪除所有日誌之外,某些磁盤清理軟件(例如 CCleaner)還具有一項功能,只需選中一個複選框即可刪除 Windows 日誌。請檢查您是否正在使用任何此類軟件。
其他 Windows 日誌(歷史)文章
事件查看器包含各種 Windows 操作的日誌(記錄)。
如果您對“計算機上存儲了什麼樣的日誌(歷史記錄)?”感興趣,請看一下。
與 Windows 11 相關的其他文章
點擊此處查看與Windows 11相關的其他文章,請查看。
![[Excel]如何檢查和更改文件的創建者和最後更新](https://jjgvkw.pfrlju.com/tech/eva/wp-content/uploads/cache/2025/05/jo-sys-2.png)
