この記事を読むのに必要な時間は約 3 分です。
正解は履歴を追います!!
USBメモリを挿すとドライバーが認識されます。
つまりそのドライバーが有効化された事実を追えばよいという事ですね♪
ここから先はちょっと難しいので説明は若干はぶりますが、イベントログに記録された事実を追っかけます。
方法はこちらです!!
powershell “Get-WinEvent -MaxEvents 100 -Provider Microsoft-Windows-Kernel-PnP | where-object{$_.Message.Tostring() -Like ‘*disk.inf*’} | FL”
此方実行してみるとこんな感じになります。
ふっふっふー
これみると悲しくなりますね。
PCがぶっ壊れて予備のSDDで復旧させた日付と一緒だったのを思い出しましたよ・・・
( ;∀;)
と、いうことでこんな感じでそのPCで以下IDのデバイスが挿されたことが判明しました。
USBSTOR\Disk&Ven_Innostor&Prod_Innostor&Rev_1.00\1094118141&0
これと一緒ですよね♪
如何でしょうか?
挿さっていなかったとしても挿さった履歴がこれで追うことができます。
※当然過去に同一形状の物で使用履歴があれば区別はつかないです
それでは最後に、これをどのパソコンで実行するかっていう話ですが・・・・
とりあえず説明は別のコーナーで
今回の方法をを使えば、挿さっていればその状態を調べることができるし、挿さっていなくても履歴を拾うことができました。
後はこれをほかのパソコンで実行すれば誰がそのUSBメモリを挿したのか、追うことができますね。
システムの面倒を見ている人であればQNDなりLANSCOPEなりSKYSEAなり何とでもできるかなと思いますが、なかなかそんなシステムを触れる人はいないと思います。
そこで管理者権限さえ持っていれば複数のPCでこの情報を収集する方法があるのですが、
複数台での情報収集は別記事で紹介したいと思います♪
(´◉◞౪◟◉)
