USBを抜き差しした時のログを確認する方法 – Windows11

USBをPCに接続した時のログの確認方法を詳しく解説していきます。
これらのログを確認することでUSBを使った履歴（USBの接続履歴）を確認することができます。

このログは以下の流れで確認します。

• イベントビューアーでUSBを抜き差しした時のログを有効にする
• イベントビューアーでログを確認する

Windowsの初期設定ではUSBを抜き差しした時のログは無効（保存されない状態）になっています。
USBの使用履歴を確認するためにはまずUSBを抜き差しした時のログの保存を有効にする必要があります。

USBを抜き差しした時のログの保存を有効にする方法

まずはUSBを抜き差しした時のログの保存を有効にする方法です。
以下の手順でイベントビューアーの設定を変更して、USBを抜き差しした時のログを保存するように設定を変更します。

1. イベントビューアーを開く
2. アプリケーションとサービスログ＞Microsoft＞Windows＞DriverFrameworks-UserMode＞Operationalを順に開く
3. 右側にある[ログの有効化]をクリック

ここからは、実際の画面も用いながら、USBを抜き差しした時のログの保存を有効にする方法を詳しく解説していきます。

STEP

「ファイル名を指定して実行」からイベントビューアーを開く

キーボードのWindowsキーとRを押してください。

「ファイル名を指定して実行」と書かれた小さなウィンドウが画面左下に表示されます。

その中にeventvwrと入力してEnterを押してください。

その他「ファイル名を指定して実行」で使えるコマンドはこちらの「ファイル名を指定して実行で使えるコマンド一覧 - Windows11」で詳しく解説しているので、興味のある人は是非ご覧ください。

以下のような画面が開けたら成功です。
ウィンドウの左上には「イベントビューアー」と記載されています。

STEP

Operationalログに移動する

ここからはUSBを抜き差しした時のログが保存される場所まで移動します。

左側にある[アプリケーションとサービスログ]から以下の順番に進んでください。

Microsoft＞Windows＞DriverFrameworks-UserMode＞Operational

STEP

Operationalログを有効にする

Operationalまで進んだら、右側にある[ログの有効化]をクリックしてください。

[ログの有効化]が正常に行われたら、以下の画像のように画面上部の「Operational　イベント数0(無効)」が「Operational　イベント数0」になり、右側の「ログの有効化」が「ログの無効化」に変わります。

これでこれ以降USBを抜き差しした時のログがPCに保存されるようになります。

ログの保存を有効にする前のログは記録されていないため表示されません。

USBを抜き差しした時のログを確認する方法

次は具体的にUSBを抜き差しした時のログを確認する方法を解説していきます。

USBを抜き差しした時のログはイベントビューアーの[アプリケーションとサービスログ]配下にある Microsoft＞Windows＞DriverFrameworks-UserMode＞Operational に保存されます。

イベントビューアーからではなく、エクスプローラーからログを開きたい場合は以下の文字列をエクスプローラーに貼り付けてEnterを押してください。

C:\Windows\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx

USBをPCに差し込んだ時に記録されるログ

USBをPCに差し込むと以下のように約18個のログがイベントビューアーに作成されます。

最初に作成されるイベントID2003のログがUSBを差し込んだ時のログと考えてください。

以下は実際にバッファロー製のUSBメモリを差し込んだ時に作成されたログです。

VEN_BUFFALO&PROD_USB_FLASH_DISKと記録されているので、PCに何を差し込んだかも大体わかるようになっています。

ログの名前:         Microsoft-Windows-DriverFrameworks-UserMode/Operational
ソース:           Microsoft-Windows-DriverFrameworks-UserMode
日付:            2022/12/08 12:03:53
イベント ID:       2003
タスクのカテゴリ:      Loading drivers to control a newly discovered device.
レベル:           情報
キーワード:         
ユーザー:          LOCAL SERVICE
コンピューター:       MSI
説明:
UMDF ホスト プロセス ({9e63ab53-0e3a-4b2a-95a7-0084b48740e4}) は、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_BUFFALO&PROD_USB_FLASH_DISK&REV_1.00#0916100000CC11227B00000288&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} のドライバーを読み込むよう要求されました。

USBをPCから抜いた時に記録されるログ

USBをPCから抜くと約8個のログがイベントビューアーに作成されます。

最後に作成されるイベントID1008のログがUSBをPCから抜いた時のログと考えてください。

以下は実際にバッファロー製のUSBメモリを抜いた時に作成されたログです。

ログの名前:         Microsoft-Windows-DriverFrameworks-UserMode/Operational
ソース:           Microsoft-Windows-DriverFrameworks-UserMode
日付:            2022/12/08 12:14:15
イベント ID:       1008
タスクのカテゴリ:      Shutdown of a driver host process.
レベル:           情報
キーワード:         
ユーザー:          SYSTEM
コンピューター:       MSI
説明:
ホスト プロセス ({9e63ab53-0e3a-4b2a-95a7-0084b48740e4}) はシャットダウンされました。

USBを抜き差しした時のログの保存期間を変更する方法

イベントビューアーの初期設定では長期間のログを保存できないため、監査などの関係でUSBを抜き差しした時のログを長期間保存しておく必要がある場合は以下の手順でイベントビューアーからログの保存量を変更する必要があります。

Windowsの初期設定では、ログの最大サイズは1,028KBとなっており、保存量がいっぱいになると古いログから削除されてしまいます。
ログ1件が約500バイトなので、初期設定の状態では2,000件程度保存されます。

1. イベントビューアーを開く
2. アプリケーションとサービスログ＞Microsoft＞Windows＞DriverFrameworks-UserModeを順に開く
3. DriverFrameworks-UserMode内のOperationalを右クリックし、[プロパティ]をクリック
4. 最大ログサイズ(KB)と、ログが最大ログサイズに達した時の挙動を選択して[OK]をクリック

ここからは、USBを抜き差しした時のログの保存量と、期間を変更する方法を実際の画面も用いながら詳しく解説していきます。

STEP

Operationalのプロパティを開く

USBを抜き差しした時のログはOperational内に保存されるため、Operationalの設定を変更する必要があります。

Operationalを右クリックし、[プロパティ]をクリックしてください。

Operationalまでの移動方法はページ上部の「USBを抜き差しした時のログの保存を有効にする方法」で詳しく解説しているので是非ご覧ください。

STEP

最大ログサイズとログが最大ログサイズに達した時の挙動を選択して[OK]をクリックする

[プロパティ]をクリックすると「ログのプロパティ - Operational」と書かれたウィンドウが立ち上がります。

その中で最大ログサイズを指定してください。

ログが最大ログサイズに達した時の挙動もここで設定できます。

絶対に消えてほしくない場合は「イベントを上書きしないでログをアーカイブする」を選択することをお勧めします。

選択を終えたら下にある[OK]をクリックしてウィンドウを閉じてください。

「適用はクリックしなくていいの？」と思ったかたはこちらの「OKボタンと適用ボタンの違いについて」を是非ご覧ください。

これでUSBを抜き差しした時のログの保存期間が変更できます。

USBを抜き差しした時のログ（履歴）を全て削除し、今後は保存しないようにする方法

ここまで紹介したUSBを抜き差しした時のログ（履歴）を残しておきたくない場合はUSB接続に関するログを削除し、ログの記録を無効化しましょう。

STEP

USB接続に関連するログ（履歴）すべてを削除する

USBを抜き差しした時のログ（履歴）はMicrosoft>Windows＞DriverFrameworks-UserMode＞Operational内に保存されるため、Operationalの中身を削除する必要があります。

イベントビューアーでMicrosoft>Windows＞DriverFrameworks-UserMode＞Operationalに移動し、右側にある[ログの消去]をクリックしてください。

Operationalまでの移動方法はページ上部の「USBを抜き差しした時のログの保存を有効にする方法」で詳しく解説しているので是非ご覧ください。

[ログの消去]をクリックすると「このログの内容を消去する前に保存できます。」と書かれたウィンドウが立ち上がります。

保存したい場合は[保存と消去]をクリックし、保存せずに削除する場合は[消去]をクリックしてください。

[消去]をクリックするとOperationalに入っていたログが全て削除されます。

STEP

USBを抜き差しした時のログ（履歴）の保存を無効にする

USBを抜き差しした時のログ（履歴）を全て削除したら、次はUSBを抜き差しした時のログ（履歴）の保存を無効にします。
無効化することでそれ以降のUSBに関連するログ（履歴）が保存されなくなります。

イベントビューアーの画面右側にある[ログの無効化]をクリックしてください。

[ログの無効化]が正常に行われたら、以下の画像のように画面上部の「Operational　イベント数0」が「Operational　イベント数0(無効)」になり、右側の「ログの無効化」が「ログの有効化」に変わります。

これでこれ以降USBを抜き差しした時のログ（履歴）がPCに保存されなくなります。

よくある質問

ログの保存を有効にしたのにUSBの使用履歴がログに表示されません。

ログの保存を有効にした直後は反映されない場合があります。1～2分待ってからイベントビューアーの画面を更新してみてください。

USBを抜いた時ログが保存されていないときがあります。

スリーブ状態でUSBを抜くと正常にログが残っていない可能性があります。ログを必ず残したい場合は、パソコンのスリーブモードを解除してください。

アーカイブされたイベントログ（Windowsのログ）はどこに保存されますか。

アーカイブされたイベントログは以下のフォルダに保存されます。
C:\Windows\System32\winevt\Logs

スマートフォンの充電ケーブルを差し込んでも記録されますか？

充電ケーブルだけを抜き差しした場合はログは残りません。
スマートフォンをその充電ケーブルに差し込んだ時点でログが残ります。iPhoneの場合は差し込んだ時点で以下のログが残りました。

抜いた時点ではUSBメモリと同様にイベントID 1008が残ります。

UMDF ホストにより、ドライバー AppleUsbFilter がレベル 0 でデバイス USB\VID_05AC&PID_12A8&MI_01\6&2EE54954&1&0001 用に読み込まれています。

WindowsXPでもUSBを抜き差ししたログを保存できますか。

USBの抜き差しに関するログはWindows Vistaからの機能と言われているため、それより前のOSでは保存できないと思われます。

USB抜き差しのログが、実際の抜き差しの回数よりもはるかに大量に残っています。

USBの接触不良なので何度も接続と切断を繰り返している可能性があります。他のUSBまたはUSBポートで試してみてください。

保存されているはずのUSB抜き差しに関するログや、その他のログがイベントビューアーから全て削除されています。

イベントビューアーからログを一括削除する方法の他に、CCleanerなど一部のディスククリーンアップソフトにはチェックを一つ入れるだけでWindowsログを削除する機能があります。そのようなソフトを使っていないか確認してみてください。

その他のWindowsログ（履歴）に関する記事

イベントビューアーにはWindowsの様々な操作のログ（記録）が残っています。
「パソコンにはどんなログ（履歴）が保存されているのか？」興味があるかたは是非ご覧ください

その他Windows11に関する記事

その他Windows11に関する記事はこちらです。是非御覧ください。