लॉगिंग जब कोई विंडोज डिवाइस से / से एक यूएसबी डिवाइस को जोड़ता है या हटाता है

11

मैं वर्तमान में लॉग इन करने के लिए एक रास्ता खोजने के लिए कोशिश कर रहा हूँ के सभी कनेक्शन और हमारे नेटवर्क पर Windows मशीनों के सभी से यूएसबी उपकरणों की डिस्कनेक्शन। यह जानकारी स्वचालित रूप से मशीन पर एक फ़ाइल में लॉग इन करने की आवश्यकता है, इस फाइल को nxlog द्वारा पढ़ा जा सकता है और फिर प्रसंस्करण के लिए हमारे केंद्रीकृत लॉगिंग प्लेटफ़ॉर्म पर भेज दिया जा सकता है। मैं उम्मीद कर रहा था कि यह जानकारी विंडोज लॉग द्वारा स्वचालित रूप से लॉग इन की जाएगी, लेकिन मैंने पाया कि यूएसबी रिमूवेबल स्टोरेज के बारे में कुछ जानकारी इवेंट व्यूअर को लॉग इन करने के लिए प्रतीत होती है, यह काफी सीमित जानकारी है और यूएसबी कीबोर्ड और चूहों के नहीं होने पर इसे नहीं उठाया जाता है। जुड़ा और डिस्कनेक्ट किया गया।

कुछ खुदाई के बाद मैंने पाया कि nirsoft ने एक छोटा सा exe लिखा था जो बहुत मेहनत करता है, USBLogView को बिना इंस्टॉलेशन के चलाया जा सकता है और हर बार जब कोई USB डिवाइस कनेक्ट होता है और मशीन से डिस्कनेक्ट होता है। इसके साथ समस्या यह है कि मैं इसे सेवा के रूप में चलाने का कोई तरीका नहीं देख सकता, और न ही मुझे ऐसा कोई तरीका दिखाई देता है जो स्वचालित रूप से जानकारी को लॉग फ़ाइल में लॉग इन करता हो, हालाँकि आप लॉग प्रविष्टियों का चयन कर सकते हैं और मैन्युअल रूप से उनका चयन कर सकते हैं लॉग फ़ाइल में सहेजा गया।

मैं exe फ़ाइल की एक स्थानीय प्रतिलिपि बनाने के लिए समूह नीति का उपयोग कर सकता हूं, और फिर किसी तरह इस exe को स्टार्टअप के दौरान चलने के लिए बाध्य कर सकता हूं, लेकिन मुख्य रूप से फ़ाइल में लिखे गए लॉग को स्वचालित रूप से प्राप्त नहीं कर पाने का मुख्य मुद्दा अभी भी दूर करना होगा। मुझे यह सुनिश्चित करने में भी सक्षम होना चाहिए कि उपयोगकर्ता प्रोग्राम को बंद करने में सक्षम नहीं है, जो कि संभव है जब मैं इसे स्वयं लॉन्च करता हूं, आदर्श रूप से इसे छिपाया जाता है और ट्रे आइकन नहीं दिखाया जाता है, तो इसे सेट करने का सबसे अच्छा तरीका होगा अप (लेकिन जब मैंने छिपी हुई सेटिंग का उपयोग करने की कोशिश की है, तो मुझे ऐसा लगता है कि इसे या तो मुख्य विंडो में दिखाया जा सकता है, या सिस्ट्रे आइकन दिखा रहा है)। मैंने वेबसाइट पर देखा, लेकिन मुझे यह करने के लिए यह बताने के लिए विकल्पों के साथ कार्यक्रम को लागू करने का कोई तरीका नहीं दिखता है। मैंने यह देखने के लिए कि क्या उनकी कोई सलाह थी, मैंने पिछले सप्ताह निरसा को ईमेल किया, लेकिन मैं अभी भी प्रतिक्रिया का इंतजार कर रहा हूं।

क्या किसी को भी ऐसा करने का कोई वैकल्पिक तरीका मिला है? किसी भी सुझाव या मदद का स्वागत करते हैं! धन्यवाद

windows  usb  logging 
rumbles
स्रोत

जवाबों:

2

वहाँ उस के लिए भुगतान किया समाधान हैं। CoSoSys द्वारा EndProtection4। यह पता नहीं है कि यह उपकरण में स्थापित एजेंट के अंदर कैसे काम करता है, लेकिन यह आपको प्लग-इन किए गए उपकरणों के बारे में सभी जानकारी देता है। आपको एक सर्वर साइड की आवश्यकता होती है जो क्लाइंट्स को प्रबंधित करता है क्योंकि यह सॉफ्टवेयर है जो उपकरणों तक पहुंच का प्रबंधन करता है। मैक और लिनक्स पर भी काम करता है।

बार्टोज़ डेबस्की
स्रोत
3

USB डिवाइसेस को कनेक्ट और डिस्कनेक्ट करना "इवेंट लॉग" में लॉग इन होता है।

इस विस्तृत विवरण ("डिजिटल फोरेंसिक स्ट्रीम" ब्लॉग, 2014-01-02, विंडोज 7 इवेंट लॉग और यूएसबी डिवाइस ट्रैकिंग ) को उद्धृत करते हुए :

कनेक्शन ईवेंट आईडी
जब USB हटाने योग्य संग्रहण डिवाइस विंडोज 7 सिस्टम से जुड़ा होता है, तो Microsoft-Windows-DriverFrameworks-UserMode / ऑपरेशनल ईवेंट लॉग में कई ईवेंट रिकॉर्ड बनाए जाने चाहिए। रिकॉर्ड में इवेंट ID 2003, 2004, 2005, 2010, 2100, 2105, और अधिक शामिल हैं। ...

डिस्कनेक्शन ईवेंट आईडी
जब विंडोज 7 सिस्टम से एक यूएसबी अंगूठे ड्राइव को डिस्कनेक्ट किया जाता है, तो कुछ ईवेंट रिकॉर्ड को कनेक्शन ईवेंट लॉग के समान इवेंट लॉग में उत्पन्न किया जाना चाहिए। इवेंट आईडी 2100, 2102, और संभवतः अधिक के साथ रिकॉर्ड किया जा सकता है जब एक यूएसबी डिवाइस काट दिया जाता है। ...

इवेंट लॉग से निर्यात को स्वचालित करने के लिए, Microsoft मुफ्त के लिए लॉगरपार्क प्रदान करता है ।

दलदल-लचीलेपन की
स्रोत
2
उत्तर के लिए धन्यवाद, लेकिन जैसा कि मैंने अपने प्रश्न में कहा था, इवेंट व्यूअर दिखाता है कि जब आप USB संग्रहण डिवाइस कनेक्ट करते हैं, लेकिन कीबोर्ड जैसे USB डिवाइस आदि नहीं, मैं सभी USB डिवाइसों के लिए जानकारी इकट्ठा करना चाहता हूं न कि केवल USB संग्रहण डिवाइस।
रूंबल्स
@Rumbles क्या आप वाकई सही लॉग देख रहे हैं? ऊपर दिया गया लॉग "सामान्य" लोगों में से एक नहीं है। दूसरी ओर, ऊपर दिए गए लॉग में केवल UMDF ड्राइवरों द्वारा नियंत्रित उपकरणों के बारे में जानकारी होगी। केएमडीएफ चालक नहीं और गैर-फ्रेमवर्क चालक नहीं।
जेमी हन्राहन
1
मैं पुष्टि नहीं कर सकता, यह कुछ ऐसा है जिसे मैंने थोड़ी देर में नहीं देखा है, और जब से नौकरी बदली है और शायद ही कभी विंडोज डेस्कटॉप मशीनों के साथ काम किया है (हुर्रे!)
रूंबल्स
मैं इस लॉग को सक्षम करते समय स्टोरेज डिवाइस को देखने में सक्षम था लेकिन USB माउस का उपयोग नहीं कर रहा था।
टायलर स्ज़ैबो
0

मैं ऑटोट जैसे टूल का उपयोग करने की कोशिश करूंगा।

$vFile = FileOpen("usb.txt", 2)

Local $vObjWMI = ObjGet("winmgmts:\\" & @ComputerName & "\root\cimv2")

$vObjItems = $vObjWMI.ExecQuery('SELECT * FROM Win32_DiskDrive')
If IsObj($vObjItems) Then
    For $vObjItem In $vObjItems
        If StringInStr($vObjItem.Caption, "USB") Then
            FileWriteLine($vFile, $vObjItem.Caption & @CRLF)
            FileWriteLine($vFile, $vObjItem.DeviceID & @CRLF & @CRLF)
        EndIf
    Next
EndIf

FileClose($vFile)

ShellExecute("usb.txt")

एक फोरम पोस्ट जो इस से आया है वह ऑटोट फोरम पर है: http://www.autoitscript.com/forum/topic/155213-detect-usb-devices-connected/?p=1121434

रिले चिल्ड
स्रोत
0

के तहत मदों regeditमें उपयोग और देखो :। कुछ विवरणों के लिए PowerShell खोलें और चलाएँ: registryHKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\

$Path = 'HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*'
Get-ItemProperty -Path $Path | Select-Object -Property FriendlyName, CompatibleIDs, Mfg

या यहां लॉग फ़ाइल में देखें C:\Windows\inf\setupapi.dev.log:।

अधिक तकनीकी जानकारी के लिए, निकोलस ब्लॉग देखें

not2qubit
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.