Wo finde ich Protokolle zum letzten USB-Einlegen in der Ereignisanzeige? [doppelt]

Gemäß scottschlaeflis Antwort protokolliert Windows dieses Ereignis standardmäßig nicht. Sie können dies jedoch mit einem Drittanbieter-Dienstprogramm tun. Eine, die ich nützlich gefunden habe, um USB-Aktivitäten zu protokollieren: http://www.nirsoft.net/utils/usb_log_view.html

USBLogView ist ein kleines Dienstprogramm, das im Hintergrund ausgeführt wird und die Details eines USB-Geräts aufzeichnet, das an Ihr System angeschlossen oder nicht angeschlossen ist. Für jede von USBLogView erstellte Protokollzeile werden folgende Informationen angezeigt: Ereignistyp (Plug/Unplug), Ereigniszeit, Gerätename, Beschreibung, Gerätetyp, Laufwerksbuchstabe (für Speichergeräte), Seriennummer (nur für einige Gerätetypen), Hersteller-ID, Produkt-ID, Herstellername, Produktname und mehr.

Versuchen logman.exe trace.

USB Insertion ist standardmäßig kein protokolliertes Ereignis in der Windows Event Viewer. Sie können Ereignisspuren für USB-Geräte mit logman erstellen, indem Sie die folgenden Schritte ausführen, die sich in befinden dieser Technet-Artikel:

Geben Sie in einer administrativen Eingabeaufforderung Folgendes ein

logman create trace -n usbtrace -o %SystemRoot%\Tracing\usbtrace.etl -nb 128 640 -bs 128
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBXHCI (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-UCX (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB3 (Default,PartialDataBusTrace)
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBPORT
logman update trace -n usbtrace -p Microsoft-Windows-USB-USBHUB
logman update trace -n usbtrace -p Microsoft-Windows-Kernel-IoTrace 0 2
logman start -n usbtrace

Dadurch wird ein Trace bei %SystemRoot%\Tracing\usbtrace.etl

Dieses Protokoll kann übermäßig groß werden und das Protokollieren aller Aktivitäten für die USB-Stacks wird zwischen mehreren Sitzungen keine gute Idee sein, dies ist mehr für die Fehlerbehebung bei USB-Aktivitäten.

USB-Laufwerke führen dazu, dass die Ereignis-ID 4688 beim Einsetzen und Mounten durch das Betriebssystem bei Windows>Security protokolliert wird, vielleicht reicht das aus, aber es gibt keinen Protokolleintrag, wenn ein USB-Gerät angeschlossen ist. Wenn es sich bei dem Problem um Wechseldatenträger handelt, können Sie die Überwachung über die Gruppenrichtlinie erzwingen, wie hier beschrieben:

Erzwingen Sie ein GPO mit folgendem:
Computer Configuration>Security Settings>Advanced Audit Policy Configuration>Object Access>Audit Removable Storage>Success (und Failure falls gewünscht) Audit-Ereignisfelder aktiviert.

Auf einem Gerät mit Windows 7 oder 10 werden mehrere Ereignisse in den Ereignisprotokollen aufgezeichnet, wenn Sie ein USB-Gerät an ein System anschließen, für das ein Treiber erforderlich ist.

Sie können sehen, dass USB-Geräte angeschlossen sind, sowie sehen, wann sie getrennt sind, indem Sie die Ereignisanzeige verwenden, um das Ereignisprotokoll "Microsoft/Windows/DriverFrameworks-UserMode/Operational" zu analysieren. (Standardmäßig ist dieses Ereignisprotokoll nicht aktiviert, wenn Sie also an einem Ereignis interessiert sind, das vor dem Aktivieren dieses Protokolls aufgetreten ist, sind Sie out des Glücks.)