Windows 10や11で、USBメモリなどのUSB接続タイプのストレージデバイスの接続/取り外しを記録したい場合、資産管理ツールなどを導入している環境ならツールの機能で記録できる場合が多いですが、そのようなツールを導入していない環境でも、WindowsのイベントログでUSB接続タイプのストレージデバイスの接続や切断を記録することができます。
そこでここでは、Windows 10を例に、USB接続タイプのストレージデバイスの接続/取り外しをイベントログに記録する方法を紹介します。
目次
イベントビューアーの設定変更
USB接続タイプのストレージデバイスの接続/取り外しをイベントログに記録するには、イベントビューアーで設定変更を行います。
手順は、次のとおりです。
まず、スタートメニューを右クリックしたメニュー一覧などから「イベントビューアー」を起動します。
イベントビューアーを起動したら、画面左側のツリーから「アプリケーションとサービスログ」>「Microsoft」>「Windows」>「DriverFrameworks-UserMode」を順に展開します。
「DriverFrameworks-UserMode」の配下にある「Operational」を選択した状態で、画面右側のメニューから「ログの有効化」をクリックします。
以上で、USBストレージデバイスの接続/取り外しがイベントログに記録されるようになります。
なお、デフォルトではログの最大サイズは1,028KBとなっており、ログファイルがいっぱいになると古いログから削除されてしまいます。
より多くのログを残しておきたいときなどは、ログのプロパティ画面で最大ログサイズを増やすか、ログをアーカイブするなどの設定を検討しましょう。(ちなみに、平均的なイベントログは、1件当たり約500バイトを消費します。)
接続ログの確認
USBストレージデバイスの接続ログは、設定時と同じ場所「アプリケーションとサービスログ」>「Microsoft」>「Windows」>「DriverFrameworks-UserMode」>「Operational」で確認できます。
たとえば、USBストレージデバイスを接続した場合、以下のようなログが記録されます。
レベル 日付と時刻 ソース イベント ID タスクのカテゴリ
情報 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2101 Pnp or Power Management operation to a particular device. デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} の Pnp または電源操作 (27、20) を状態 0x0 で完了しました。
情報 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2106 Pnp or Power Management operation to a particular device. 下位ドライバーによって状態 0x0 で完了した、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} の Pnp または電源操作 (27、20) を受信しました。
情報 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2105 Pnp or Power Management operation to a particular device. デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} の Pnp または電源操作 (27、20) を、下位ドライバーに状態 0xC00000BB で転送しました。
情報 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2100 Pnp or Power Management operation to a particular device. デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} の Pnp または電源操作 (27、20) を受信しました。
情報 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2101 Pnp or Power Management operation to a particular device. デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} の Pnp または電源操作 (27、9) を状態 0x0 で完了しました。
情報 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2106 Pnp or Power Management operation to a particular device. 下位ドライバーによって状態 0x0 で完了した、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} の Pnp または電源操作 (27、9) を受信しました。
情報 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2105 Pnp or Power Management operation to a particular device. デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} の Pnp または電源操作 (27、9) を、下位ドライバーに状態 0xC00000BB で転送しました。
情報 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2100 Pnp or Power Management operation to a particular device. デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} の Pnp または電源操作 (27、9) を受信しました。
情報 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2101 Pnp or Power Management operation to a particular device. デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} の Pnp または電源操作 (27、0) を状態 0x0 で完了しました。
情報 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2106 Pnp or Power Management operation to a particular device. 下位ドライバーによって状態 0x0 で完了した、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} の Pnp または電源操作 (27、0) を受信しました。
情報 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2105 Pnp or Power Management operation to a particular device. デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} の Pnp または電源操作 (27、0) を、下位ドライバーに状態 0xC00000BB で転送しました。
情報 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2100 Pnp or Power Management operation to a particular device. デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} の Pnp または電源操作 (27、0) を受信しました。
詳細 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2006 Loading drivers to control a newly discovered device. UMDF ホストにより、ドライバーがレベル 0 で正常に読み込まれました。
詳細 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2005 Loading drivers to control a newly discovered device. UMDF ホスト プロセス ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) により、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} のドライバーの読み込み中にモジュール C:\Windows\System32\WUDFx.dll が読み込まれました。
詳細 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2005 Loading drivers to control a newly discovered device. UMDF ホスト プロセス ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) により、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} のドライバーの読み込み中にモジュール C:\WINDOWS\SYSTEM32\WMASF.DLL が読み込まれました。
詳細 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2005 Loading drivers to control a newly discovered device. UMDF ホスト プロセス ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) により、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} のドライバーの読み込み中にモジュール C:\WINDOWS\SYSTEM32\mfperfhelper.dll が読み込まれました。
詳細 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2005 Loading drivers to control a newly discovered device. UMDF ホスト プロセス ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) により、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} のドライバーの読み込み中にモジュール C:\WINDOWS\System32\OLEAUT32.dll が読み込まれました。
詳細 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2005 Loading drivers to control a newly discovered device. UMDF ホスト プロセス ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) により、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} のドライバーの読み込み中にモジュール C:\WINDOWS\SYSTEM32\wmvcore.dll が読み込まれました。
詳細 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2005 Loading drivers to control a newly discovered device. UMDF ホスト プロセス ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) により、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} のドライバーの読み込み中にモジュール C:\WINDOWS\System32\msvcp_win.dll が読み込まれました。
詳細 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2005 Loading drivers to control a newly discovered device. UMDF ホスト プロセス ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) により、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} のドライバーの読み込み中にモジュール C:\WINDOWS\System32\gdi32full.dll が読み込まれました。
詳細 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2005 Loading drivers to control a newly discovered device. UMDF ホスト プロセス ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) により、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} のドライバーの読み込み中にモジュール C:\WINDOWS\System32\GDI32.dll が読み込まれました。
詳細 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2005 Loading drivers to control a newly discovered device. UMDF ホスト プロセス ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) により、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} のドライバーの読み込み中にモジュール C:\WINDOWS\System32\win32u.dll が読み込まれました。
詳細 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2005 Loading drivers to control a newly discovered device. UMDF ホスト プロセス ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) により、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} のドライバーの読み込み中にモジュール C:\WINDOWS\System32\USER32.dll が読み込まれました。
詳細 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2005 Loading drivers to control a newly discovered device. UMDF ホスト プロセス ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) により、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} のドライバーの読み込み中にモジュール c:\windows\system32\drivers\umdf\wpdfs.dll が読み込まれました。
詳細 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2005 Loading drivers to control a newly discovered device. UMDF ホスト プロセス ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) により、デバイス NULL のドライバーの読み込み中にモジュール C:\Windows\System32\WUDFx.dll が読み込まれました。
詳細 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2004 Loading drivers to control a newly discovered device. UMDF ホストにより、ドライバー WpdFs がレベル 0 でデバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} 用に読み込まれています。
情報 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2010 Loading drivers to control a newly discovered device. UMDF ホスト プロセス ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) により、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} のドライバーが正常に読み込まれました。
情報 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2003 Loading drivers to control a newly discovered device. UMDF ホスト プロセス ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) は、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} のドライバーを読み込むよう要求されました。
情報 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 1004 Creation of a new driver host process. ホスト プロセス ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) が正常に開始されました。
情報 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2001 Startup of a new driver host process. UMDF ホスト プロセス ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) が正常に開始されました。
情報 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 2000 Startup of a new driver host process. UMDF ホスト プロセス ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) をスタートアップしています。
情報 2022/12/26 22:10:18 Microsoft-Windows-DriverFrameworks-UserMode 1003 Creation of a new driver host process. ドライバー マネージャー サービスにより、デバイス SWD.WPDBUSENUM._??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} のホスト プロセスが開始されています。USBストレージデバイスを取り外した時には、以下のようなログが記録されます。
レベル 日付と時刻 ソース イベント ID タスクのカテゴリ
情報 2022/12/26 22:11:04 Microsoft-Windows-DriverFrameworks-UserMode 1008 Shutdown of a driver host process. ホスト プロセス ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) はシャットダウンされました。
情報 2022/12/26 22:11:04 Microsoft-Windows-DriverFrameworks-UserMode 2901 Shutdown of a driver host process. UMDF ホスト ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) はシャットダウンされました。
情報 2022/12/26 22:11:04 Microsoft-Windows-DriverFrameworks-UserMode 2900 Shutdown of a driver host process. UMDF ホスト ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) はシャットダウンするよう要求されました。
情報 2022/12/26 22:11:04 Microsoft-Windows-DriverFrameworks-UserMode 1006 Shutdown of a driver host process. ホスト プロセス ({11d37de5-351b-4a7d-bbcd-9b2b977375f5}) はシャットダウンするよう要求されています。
情報 2022/12/26 22:11:04 Microsoft-Windows-DriverFrameworks-UserMode 2102 Pnp or Power Management operation to a particular device. 完了した Pnp または電源操作 (27、2) を、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} の下位ドライバーに状態 0x0 で転送しました。
情報 2022/12/26 22:11:04 Microsoft-Windows-DriverFrameworks-UserMode 2100 Pnp or Power Management operation to a particular device. デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} の Pnp または電源操作 (27、2) を受信しました。
情報 2022/12/26 22:11:03 Microsoft-Windows-DriverFrameworks-UserMode 2102 Pnp or Power Management operation to a particular device. 完了した Pnp または電源操作 (27、23) を、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} の下位ドライバーに状態 0x0 で転送しました。
情報 2022/12/26 22:11:03 Microsoft-Windows-DriverFrameworks-UserMode 2100 Pnp or Power Management operation to a particular device. デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_TDKMEDIA&PROD_TRANSIT&REV_PMAP#07A30203AD5EF1AA&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} の Pnp または電源操作 (27、23) を受信しました。おおむね、USBストレージデバイスの接続はイベントID1004、USBデバイスの取り外しはイベントID1008のログに着目すればよいでしょう。
あとがき
資産管理ツールなどを利用せずに、Windowsの標準機能だけでUSBストレージデバイスの接続履歴を証跡として保存しておきたい場合などに役立つでしょう。