定位USB设备日志
展开左侧菜单:Windows日志 → 系统,在右侧操作栏点击 “筛选当前日志”,输入事件ID:
6005:系统启动(记录U盘可能的使用时间段)
6006:系统关闭
2003:USB设备插入(关键记录)
2102:USB设备移除
点击“确定”后,系统将筛选出所有USB设备操作记录。
查看详细信息
双击任意一条记录,在“常规”选项卡中查看:
事件来源:显示为 USBSTOR 或 WudfUsb
设备ID:包含厂商信息(如 Kingston DataTraveler)
时间戳:精确到秒的插拔时间
关联文件操作(需额外配置)
若需追踪U盘内文件访问记录,需提前开启审计策略:
按 Win + R 输入 gpedit.msc 打开组策略编辑器。
导航至:计算机配置 → Windows设置 → 安全设置 → 本地策略 → 审计策略
启用 “审计对象访问”,并指定需监控的文件夹(如U盘盘符)。
适用场景:临时排查U盘使用情况,无需安装额外软件。
局限性:日志易被清除,无法记录文件拷贝内容,需手动关联时间线。
方法2:专业审计工具——企业级全流程监控
对于企业用户,推荐使用安企神软件等专业软件,实现U盘从插拔到文件操作的全链条审计。
以安企神软件为例,操作步骤如下:
部署客户端:
在管理员电脑安装控制端,员工电脑安装客户端(支持静默安装)。
设置审计策略:勾选 “U盘操作审计”,包括插入、拔出、文件拷贝、删除等行为。
实时查看记录
登录控制端,进入 “审计日志” → “U盘操作” 模块。
记录包含:
用户信息:账号、部门、IP地址
设备详情:U盘品牌、容量、序列号
操作类型:插入/拔出/拷贝/删除
文件信息:文件名、大小、修改时间
风险告警与阻断:
设置敏感文件规则(如后缀名为 .xlsx、.sql 的文件),当员工试图拷贝时:
弹窗警告:提示“此文件禁止外传”
自动阻断:禁止拷贝并记录违规行为
邮件告警:实时推送至管理员邮箱
适用场景:制造业、设计公司、金融企业等对数据安全要求高的单位。
优势:记录不可篡改,支持远程审计,可追溯至具体操作人。
方法3:第三方软件——轻量级快速排查
若需快速查看单台电脑的U盘记录,可使用USBLogView、USBDeview等免费工具,无需安装,解压即用。
以USBLogView为例,操作步骤如下:
下载并运行
从官网下载工具(如 NirSoft USBLogView),解压后双击运行。
查看历史记录
软件自动扫描系统日志,生成U盘操作列表,包含:
设备名称:如 “SanDisk Ultra Fit”
驱动器号:如 E:\
首次/最后使用时间:精确到秒
序列号:唯一标识U盘设备
导出报告
点击 File → Save Selected Items,可导出为CSV、HTML或TXT格式,便于存档或分析。
适用场景:IT运维人员快速排查问题,个人用户自查U盘使用记录。
局限性:仅记录插拔行为,无法追踪文件操作。
以上就是小编分享的全部内容了,如果还想了解更多内容,可以私信评论小编哦~
责编:婵婵返回搜狐,查看更多