windows怎么看usb记录

在Windows系统中查看USB设备使用记录可以通过多种方法实现，以下是详细的专业操作步骤和扩展知识：

1. 通过事件查看器（Event Viewer）

Windows系统会自动记录USB设备的插拔事件，存储于系统日志中。

操作步骤：

1. 按 `Win + R` 输入 `eventvwr.msc` 打开事件查看器。

2. 依次展开 应用程序和服务日志 → Microsoft → Windows → DriverFrameworks-UserMode。

3. 在右侧选择 Operational 日志，筛选事件ID为 2003（设备接入） 和 2004（设备移除） 的记录。

扩展知识：

- 事件查看器需管理员权限，部分精简版系统可能缺少相关日志。

- 可导出日志为`.evtx`文件供后续分析。

2. 通过注册表（Registry）

USB设备的硬件信息和首次连接时间会写入注册表。

操作步骤：

1. 按 `Win + R` 输入 `regedit` 打开注册表编辑器。

2. 导航至路径：

`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`

此处列出所有连接过的USB存储设备（如U盘、移动硬盘），包含厂商ID、设备型号等信息。

注意事项：

- 直接修改注册表有风险，建议先备份。

- 非存储类USB设备（如键盘、鼠标）记录在 `HID` 或 `USB` 子项下。

3. 使用PowerShell命令

通过脚本快速提取USB历史记录。

命令示例：

powershell

Get-WinEvent -LogName "Microsoft-Windows-DriverFrameworks-UserMode/Operational" | Where-Object {$_.ID -eq 2003 -or $_.ID -eq 2004} | Format-Table TimeCreated, Message -AutoSize

扩展应用：

- 可结合 `Export-Csv` 导出为CSV文件进行统计分析。

- 管理员权限下才能获取完整信息。

4. 检查设备管理器历史记录

设备管理器会保留已连接设备的驱动安装记录。

操作步骤：

1. 右键“此电脑” → 管理 → 设备管理器。

2. 展开“通用串行总线控制器”，查看是否存在已断开连接的设备（灰标）。

3. 右键设备 → 属性 → 事件，查看相关驱动安装或错误日志。

5. 第三方工具

专业工具可提供更直观的USB审计功能：

USBLogView：列出所有USB连接事件的详细信息，包括设备序列号、连接时间。

USBDeview：显示当前及历史USB设备列表，支持导出和远程监控。

扩展知识：

安全审计：企业环境中可通过组策略（GPO）启用 “审核设备安装”（路径：`计算机配置 → 管理模板 → 系统 → 设备安装`），加强USB设备管控。

取证分析：取证软件如FTK Imager或Autopsy可直接解析Windows注册表、日志文件，恢复已删除的USB记录。

系统限制：部分老旧系统（如WinXP）需手动启用USB日志功能，而Win10/11默认记录更全面。

若需深度，建议结合多种方法交叉验证，并定期备份日志以防覆盖。