none
关于U盘使用记录的日志文件 RRS feed

  • 问题

  • 把某个文件通过U盘拷贝出去的日志文件是否能提取?需要知道拷贝的文件名或路径、使用的U盘的名称以及时间
    2020年8月25日 3:46

全部回复

  • 您好,

    请查看以下方式是否能达到您的需求。

    通过启用审计策略监测可移动存储设备的使用,可在安全日志中筛选4663/4656日志进行查看。

    具体方法如下:

    1. Local Computer Policy>Computer Configuration>Windows Setting>Security Setting>Advanced Audit Policy Configuration>Object Access>Audit Removable Storage>Configure the following audit events>Success/Failure

        本地计算机策略>计算机配置> Windows设置>安全设置>高级审核策略配置>对象访问>审核可移动存储>配置以下审核事件>成功/失败

    2. 事件查看器>Windows日志>安全日志,筛选4663(success)/4656(failure)

    参考文档

    Monitor the use of removable storage devices

    https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/monitor-the-use-of-removable-storage-devices

    另外,您还可以开启以下日志,跟踪USB驱动器相关事件。

    Event Viewer > Application and Services Logs > Microsoft > Windows > DriverFrameworks-UserMode > Operational > Enable Log

    参考文档:

    How to track down USB flash drive usage with Windows 10's Event Viewer

    https://www.techrepublic.com/article/how-to-track-down-usb-flash-drive-usage-in-windows-10s-event-viewer/

    注意:此回复中包含第三方链接,我们提供此链接旨在于方便参考, Microsoft 不能保证此链接中的任何信息和内容的有效性

    Thanks,

    Eleven


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年8月25日 7:25
  • 您好,

    请问回复对您有帮助吗?

    您还有其他疑问或者需求吗?

    Thanks,

    Eleven


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年8月27日 5:55