مشاوره رایگان

Removable Device Log on Windows Sensor

پایش رخداد های مربوط به Removable Device ها در سنسور های ویندوزی

رخداد های مربوط به اتصال Removable Device ها

یکی از روش های شناسایی اتصال دیوایس های Removable ،  پایش رخدادهای زیر می باشد.

2003
نشان دهنده اتصال USB میباشد

2102
نشان دهنده قطع اتصال USB میباشد

نکته

به طور پیش فرض این رخداد فعال نبوده و به منظور تولید آن می بایست در ابزار Event Viewer فعال گردد.

فعال سازی رخداد در ابزار Event Viewer

رخداد مربوطه می بایست از طریق مسیر زیر در ابزار Event Viewer فعال گردد.

Event Viewer -> Applications and Services Logs -> Microsoft -> Windows -> DriverFrameworks-UserMode -> Operational

مطابق شکل زیر با کلیک راست بر روی گزینه Operational و انتخاب Enable Log این رخداد ها فعال می گردد.

فعال سازی رخداد از طریق Command Line

جهت سهولت در فعال سازی رخداد های مربوطه می توان از دستورات زیر کمک گرفت:

دستورات زیر را در Windows PowerShell وارد نمایید: (دریافت فایل txt دستورات)

$logName = 'Microsoft-Windows-DriverFrameworks-UserMode/Operational'
$log = New-Object System.Diagnostics.Eventing.Reader.EventLogConfiguration $logName
$log.IsEnabled=$true
$log.SaveChanges()

برای اطمینان از فعال شدن رخداد مربوطه می توان از دستور زیر استفاده کرد.

Get-WinEvent  -ListLog Microsoft-Windows-DriverFrameworks-UserMode/Operational | Format-List is*

ویرایش Agent Profile

به طور پیش فرض رخدادهای مسیر ذکرشده توسط Agent سامانه کورلاگ خوانده نمی شود. به منظور دریافت رخدادهای مربوطه می بایست پروفایل Agent ویرایش گردد.

قبل از آن بهتر است با مفهوم کانال آشنا شویم. در واقع هر بخش از Event Viewer یک کانال به حساب می آید. به منظور مشاهده نام کانال می بایست در ابزار Event Viewer بر روی بخش مربوطه کلیک راست و گزینه Properties انتخاب شود. در پنجره بازشده در قسمت Full Name (شکل زیر) نام کانال قابل مشاهده است.

نام کانال رخدادهای مربوطه به صورت زیر می باشد:

Microsoft-Windows-DriverFrameworks-UserMode/Operational

برای ویرایش Agent Profile در سامانه کورلاگ مطابق شکل زیر می بایست در پروفایل Agent سرور مربوطه یک کانال جدید ایجاد شود. پس از ذخیره تنظیمات مذکور و آپدیت مجدد Agent رخداد ها دریافت می گردد. همانطور که ذکر شد، در بین رخداد های تولید شده رخداد 2003 مربوط به اتصال دیوایس USB و رخداد 2102 نیز  نشان دهنده قطع دیوایس USB می باشد.

نکته

نام کامل رخدادهای مذکور در سامانه کورلاگ به صورت زیر می باشد:

A USB device is connected

A USB device is disconnected

درخواست مشاوره رایگان

تیم فروش و کارشناسان فنی بهین راهکار در اسرع وقت با شما تماس خواهند گرفت

در مسیر امنیت، هر قدم کنار شما هستیم

درخواست دمو

تیم فروش و کارشناسان فنی بهین راهکار در اسرع وقت با شما تماس خواهند گرفت تا دموی شخصی‌سازی‌شده مطابق نیازهای سازمان شما را ارائه دهند.

در مسیر امنیت، هر قدم کنار شما هستیم