MENU
WindowsやOfficeの操作方法をわかりやすく解説
  1. ホーム
  2. Windows11
  3. USBを抜き差しした時のログ(接続履歴)を確認する方法 – Windows11

USBを抜き差しした時のログ(接続履歴)を確認する方法 – Windows11

Windows11

Windows11で「誰が・いつ・どのUSBデバイスを接続したか」を確認する方法を、初心者の方でも実践できるよう、実際の画面を使いながらわかりやすく解説します。

たとえば――
・「自分のPCに、知らないUSBメモリが接続された形跡がないか確認したい」
・「会社のPCで、誰がいつUSBを使ってデータを持ち出したか追跡したい」

情報システム担当として、USBデバイスの管理は、情報漏洩対策やセキュリティ監査の観点から非常に重要です。
しかし、Windows11は初期設定のままでは、USBの抜き差し履歴は一切記録されていません。

この記事では、USBの接続履歴(ログ)を記録するための設定方法から、イベントビューアーでのログの確認手順、さらに不要になった履歴の削除や無効化の方法まで、USBのログ管理に必要な操作を網羅的にご紹介します。

目次

USBを抜き差しした時のログ(接続履歴)の保存を有効にする方法

Windows11でUSBデバイスの接続履歴を確認するには、まず、そのログを記録する機能を「有効」にする必要があります。

残念ながら、Windowsの初期設定では、セキュリティ上の理由からUSBの抜き差しログは記録されていません。
そのため、最初に一度だけ、以下の手順でイベントビューアーで設定を変更し、ログが保存されるようにしなくてはなりません。

  1. イベントビューアーを開く
  2. アプリケーションとサービスログ>Microsoft>Windows>DriverFrameworks-UserMode>Operationalを順に開く
  3. 右側にある「ログの有効化」をクリック

ここからは、USBを抜き差しした時のログ(接続履歴)の保存を有効にする方法を、実際の画面も使いながらわかりやすく解説していきます。

STEP
「ファイル名を指定して実行」でeventvwrを実行する

Windowsキー + Rキーを同時に押して、「ファイル名を指定して実行」ウィンドウを開いてください。

次に、入力欄に以下のコマンドをコピー&ペーストし、「OK」ボタンをクリックするかEnterキーを押してください。

eventvwr

その他「ファイル名を指定して実行」で使用できるコマンドについては、こちらの「ファイル名を指定して実行で使えるコマンド一覧 - Windows 11」で詳しく解説していますので、興味のある方はぜひご覧ください。

「ファイル名を指定して実行」でeventvwrを実行する
イベントビューアーを開く

以下のような画面が開けたら成功です。
ウィンドウ左上に「イベントビューアー」と表示されていれば成功です。

イベントビューアーを起動するその他の手順は「【Windows11】イベントビューアーの起動方法4選」で詳しく解説しています。ぜひご覧ください。

イベントビューアーが起動したことを確認する
イベントビューアーを開く
STEP
Operationalログに移動する

ここからはUSBを抜き差しした時のログが保存される場所まで移動します。

左側にある「アプリケーションとサービスログ」から以下の順番に進んでください。

Microsoft>Windows>DriverFrameworks-UserMode>Operational

Operationalログに移動する
Operationalログに移動する
「Microsoft」をクリック
Operationalログに移動する
「Windows」をクリック
Operationalログに移動する
「DriverFrameworks-UserMode」をクリック
Operationalログに移動する
「Operational」をクリック
Operationalログに移動する
STEP
Operationalログを有効にする

Operationalまで進んだら、右側にある「ログの有効化」をクリックしてください。

Operationalまで進んだら、右側にある「ログの有効化」をクリック
Operationalログを有効にする

「ログの有効化」をクリック後、画面表示が以下のように変わっていれば、設定は正常に完了しています。

  • 確認ポイント①: 中央ペイン上部のログ名から「(無効)」の文字が消える
  • 確認ポイント②: 右側「操作」パネルの項目が「ログの有効化」から「ログの無効化」に変わる

これで、この瞬間から、このPCでのUSBデバイスの抜き差しが、すべてイベントログとして記録されるようになります。

この設定を有効にする前の、過去のUSB接続履歴は記録されていません。
あくまで、設定を有効にした後からのUSBの抜き差しが、ログとして保存されていきますのでご注意ください。

USBデバイスの抜き差しが、すべてイベントログとして記録されるようになったことを確認する
Operationalログを有効にする

USBを抜き差しした時のログ(接続履歴)を確認する方法

ログの有効化が完了したら、いよいよ実際にUSBデバイスの接続履歴を確認します。

USBを抜き差しした時のログは、イベントビューアーの以下の場所に保存されています。 アプリケーションとサービス ログ > Microsoft > Windows > DriverFrameworks-UserMode > Operational

また、イベントビューアーを介さず、直接ログファイルを開きたい場合は、エクスプローラーのアドレスバーに以下のパスを貼り付けてEnterキーを押すことでもアクセス可能です。

C:\Windows\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx

USBをPCに差し込んだ時に記録されるログ

USBデバイスをPCに接続すると、デバイスの認識からドライバーの読み込みまで、内部では多くの処理が実行されます。
そのため、イベントビューアーには一度の接続で十数個のログがまとめて記録されます。

イベントビューアー右側の「現在のログをフィルター」をクリックして「イベントID」でフィルターを書けると簡単に見つかります。

ソースイベントIDタスクのカテゴリ
DriverFrameworks-UserMode2003Loading drivers to control a newly discovered device.
DriverFrameworks-UserMode2010Loading drivers to control a newly discovered device.
DriverFrameworks-UserMode2004Loading drivers to control a newly discovered device.
DriverFrameworks-UserMode2006Loading drivers to control a newly discovered device.
DriverFrameworks-UserMode2100Pnp or Power Management operation to a particular device.
DriverFrameworks-UserMode2105Pnp or Power Management operation to a particular device.
DriverFrameworks-UserMode2106Pnp or Power Management operation to a particular device.
DriverFrameworks-UserMode2101Pnp or Power Management operation to a particular device.
DriverFrameworks-UserMode2100Pnp or Power Management operation to a particular device.
DriverFrameworks-UserMode2102Pnp or Power Management operation to a particular device.
USBをPCに差し込んだ時に記録されるログ
USBをPCに差し込んだ時に記録されるログ
USBをPCに差し込んだ時に記録されるログ

USBを差し込んだ事実を示すログで、最も重要となるのがイベントID 2003 です。
これは、新しく接続されたデバイスを制御するためのドライバー読み込みが、まさに「開始」されたことを示す最初のログだからです。

イベントID 2003 のログ詳細を確認することで、「いつ」「誰が」「どのUSBデバイスを」PCに接続したのか、具体的な情報を読み解くことができます。

以下は、実際にバッファロー製のUSBメモリを差し込んだ際に作成されたログのサンプルです。

ログの名前:         Microsoft-Windows-DriverFrameworks-UserMode/Operational
ソース:           Microsoft-Windows-DriverFrameworks-UserMode
日付:            2022/12/08 12:03:53
イベント ID:       2003
タスクのカテゴリ:      Loading drivers to control a newly discovered device.
レベル:           情報
キーワード:         
ユーザー:          LOCAL SERVICE
コンピューター:       MSI
説明:
UMDF ホスト プロセス ({9e63ab53-0e3a-4b2a-95a7-0084b48740e4}) は、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_BUFFALO&PROD_USB_FLASH_DISK&REV_1.00#0916100000CC11227B00000288&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} のドライバーを読み込むよう要求されました。

USBをPCから抜いた時に記録されるログ

USBデバイスをPCから抜いた際にも、接続時と同様に、ドライバーの終了処理などのために複数のログが記録されます。

これらのログの中から、USBが「切断された」タイミングを正確に特定するには、イベントID 1008 に注目するのが最も確実です。

イベントビューアー右側の「現在のログをフィルター」をクリックして「イベントID」でフィルターを書けると簡単に見つかります。

ソースイベントIDタスクのカテゴリ
DriverFrameworks-UserMode1008Shutdown of a driver host process.
DriverFrameworks-UserMode2901Shutdown of a driver host process.
DriverFrameworks-UserMode2900Shutdown of a driver host process.
DriverFrameworks-UserMode1006Shutdown of a driver host process.
DriverFrameworks-UserMode2102Pnp or Power Management operation to a particular device.
DriverFrameworks-UserMode2100Pnp or Power Management operation to a particular device.
USBをPCから抜いた時に記録されるログ
USBをPCから抜いた時に記録されるログ

イベントID 1008は、そのUSBデバイスのために動いていたホストプロセスが、正常にシャットダウンされたことを示すログです。つまり、これが一連の切断プロセスの「完了」を意味する最後の記録となります。

以下は実際にバッファロー製のUSBメモリを抜いた時に作成されたログです。

ログの名前:         Microsoft-Windows-DriverFrameworks-UserMode/Operational
ソース:           Microsoft-Windows-DriverFrameworks-UserMode
日付:            2022/12/08 12:14:15
イベント ID:       1008
タスクのカテゴリ:      Shutdown of a driver host process.
レベル:           情報
キーワード:         
ユーザー:          SYSTEM
コンピューター:       MSI
説明:
ホスト プロセス ({9e63ab53-0e3a-4b2a-95a7-0084b48740e4}) はシャットダウンされました。

USBを抜き差しした時のログ(接続履歴)の保存期間を変更する方法

企業の監査対応や、家庭での長期的なセキュリティチェックのために、USBの接続履歴を長期間保存しておきたい場合もあるでしょう。

しかし、Windowsの初期設定では、ログの最大サイズはわずか1,028KB(約1MB)しかなく、容量が一杯になると古いログから自動的に上書き削除されてしまいます。これでは、数週間前のログすら残っていない可能性があります。

ここでは、ログの保存容量を増やし、上書きされずに記録を残し続けるための設定変更を解説します。
設定の大まかな流れは、以下の通りです。

  1. イベントビューアーを開く
  2. アプリケーションとサービスログ>Microsoft>Windows>DriverFrameworks-UserModeを順に開く
  3. DriverFrameworks-UserMode内のOperationalを右クリックし、「プロパティ」をクリック
  4. 「最大ログサイズ」と「ログ容量が上限に達した際の動作」を選択して「OK」をクリックする

ここからは、USBを抜き差しした時のログ(接続履歴)の保存量と、期間を変更する方法を実際の画面も用いながら詳しく解説していきます。

STEP
Operationalのプロパティを開く

USBを抜き差しした時のログはOperational内に保存されるため、Operationalの設定を変更する必要があります。

Operationalを右クリックし、「プロパティ」をクリックしてください。

Operationalまでの移動方法はページ上部の「USBを抜き差しした時のログの保存を有効にする方法」で詳しく解説しているので是非ご覧ください。

Operationalのプロパティを開く
Operationalのプロパティを開く
STEP
「最大ログサイズ」と「ログ容量が上限に達した際の動作」を選択して「OK」をクリックする

「プロパティ」をクリックすると「ログのプロパティ - Operational」ウィンドウが開きます。
ここで、ログの保存容量と、容量が一杯になった際の挙動を設定します。

  • ログが最大ログサイズに達したときの動作: 3つの選択肢から、ログの保存方針を選びます。
    • 必要に応じてイベントを上書きする
      容量が一杯になると、古いログから自動で削除されます。(初期設定)
    • イベントを上書きしないでログをアーカイブする
      監査目的の場合はこれを選択することをおすすめします。
      容量が一杯になると、現在のログは自動で別のファイルに保存(アーカイブ)され、新しいログの記録が始まります。ログが消えることはありません。
    • イベントを上書きしない(ログは手動で消去)
      容量が一杯になると、ログの記録が停止します。
      手動でログを消去するまで、新しいイベントは記録されません。

すべての設定を終えたら、「OK」ボタンをクリックしてウィンドウを閉じてください。 これで、USBの接続履歴を、指定した容量まで、上書きせずに長期間保存する設定が完了です。

この画面には「適用」ボタンもありますが、最後に「OK」ボタンを押すのであれば、「適用」を押す必要はありません。「OK」には「適用」の機能も含まれているからです。
より詳しい違いについては、「OKボタンと適用ボタンの違いについて」をご覧ください。

最大ログサイズとログが最大ログサイズに達した時の挙動を選択して[OK]をクリックする
最大ログサイズとログが最大ログサイズに達した時の挙動を選択して[OK]をクリックする

USBを抜き差しした時のログ(履歴)を全て削除し、今後は保存しないようにする方法

一度有効にしたUSBの接続履歴の保存ですが、プライバシーの観点や、ログファイルの肥大化を防ぐために、記録を停止し、これまでのログも消去したい場合もあるでしょう。

ここでは、「①これまでに記録されたログの完全消去」と「②今後のログ記録の停止(無効化)」という2つの操作を、順番に解説していきます。

STEP
USB接続に関連するログ(履歴)すべてを削除する

USBを抜き差しした時のログ(履歴)はMicrosoft>Windows>DriverFrameworks-UserMode>Operational内に保存されるため、Operationalの中身を削除する必要があります。

イベントビューアーを起動してMicrosoft>Windows>DriverFrameworks-UserMode>Operationalに移動し、右側にある「ログの消去」をクリックしてください。

Operationalまでの移動方法はページ上部の「USBを抜き差しした時のログの保存を有効にする方法」で詳しく解説しているので是非ご覧ください。

USBを抜き差しした時のログ(履歴)を全て削除し、今後は保存しないようにする方法
USBを抜き差しした時のログ(履歴)を全て削除し、今後は保存しないようにする方法

「ログの消去」をクリックすると「このログの内容を消去する前に保存できます。」と書かれたウィンドウが立ち上がります。

保存したい場合は「保存と消去(S)」をクリックし、保存せずに削除する場合は「消去(C)」をクリックしてください。

USBを抜き差しした時のログ(履歴)を全て削除し、今後は保存しないようにする方法
USBを抜き差しした時のログ(履歴)を全て削除し、今後は保存しないようにする方法

「消去」をクリックするとOperationalに入っていたログが全て削除されます。

STEP
USBを抜き差しした時のログ(履歴)の保存を無効にする

これまでに記録されたログをすべて消去したら、次に、今後のUSB接続に関するログが保存されないように、設定を無効化します。

イベントビューアーの画面右側にある「操作」パネルから、「ログの無効化」をクリックしてください。

USBを抜き差しした時のログ(履歴)を全て削除し、今後は保存しないようにする方法
USBを抜き差しした時のログ(履歴)を全て削除し、今後は保存しないようにする方法

「ログの無効化」をクリック後、画面の表示が以下のように変わっていれば、無効化は正常に完了しています。

  • 確認ポイント①: 右側「操作」パネルの項目が「ログの無効化」から「ログの有効化」に変わる
  • 確認ポイント②: 中央ペイン上部のログ名に「(無効)」と表示される

これで、USBの抜き差しを記録しない、Windowsの初期設定状態に戻りました。

USBを抜き差しした時のログ(履歴)を全て削除し、今後は保存しないようにする方法
USBを抜き差しした時のログ(履歴)を全て削除し、今後は保存しないようにする方法

USBを抜き差しした時のログ(接続履歴)に関するよくある質問と答え

USBを抜き差しした時のログ(接続履歴)に関するよくある質問と答えをまとめました。

ログの保存を有効にしたのにUSBの使用履歴がログに表示されません。

ログの保存を有効にした直後は反映されない場合があります。1~2分待ってからイベントビューアーの画面を更新してみてください。

USBを抜いた時ログが保存されていないときがあります。

スリーブ状態でUSBを抜くと正常にログが残っていない可能性があります。ログを必ず残したい場合は、パソコンのスリーブモードを解除してください。

アーカイブされたイベントログ(Windowsのログ)はどこに保存されますか。

アーカイブされたイベントログは以下のフォルダに保存されます。
C:\Windows\System32\winevt\Logs

スマートフォンの充電ケーブルを差し込んでも記録されますか?

充電ケーブルだけを抜き差しした場合はログは残りません。
スマートフォンをその充電ケーブルに差し込んだ時点でログが残ります。iPhoneの場合は差し込んだ時点で以下のログが残りました。

抜いた時点ではUSBメモリと同様にイベントID 1008が残ります。

UMDF ホストにより、ドライバー AppleUsbFilter がレベル 0 でデバイス USB\VID_05AC&PID_12A8&MI_01\6&2EE54954&1&0001 用に読み込まれています。
WindowsXPでもUSBを抜き差ししたログを保存できますか。

USBの抜き差しに関するログはWindows Vistaからの機能と言われているため、それより前のOSでは保存できないと思われます。

USB抜き差しのログが、実際の抜き差しの回数よりもはるかに大量に残っています。

USBの接触不良なので何度も接続と切断を繰り返している可能性があります。他のUSBまたはUSBポートで試してみてください。

保存されているはずのUSB抜き差しに関するログや、その他のログがイベントビューアーから全て削除されています。

イベントビューアーからログを一括削除する方法の他に、CCleanerなど一部のディスククリーンアップソフトにはチェックを一つ入れるだけでWindowsログを削除する機能があります。そのようなソフトを使っていないか確認してみてください。

なぜUSBの接続履歴ログは、初期設定で無効なのですか?

一般的なユーザーにとっては不要なログであり、記録し続けることで僅かながらディスク容量を消費し、PCのパフォーマンスに影響を与える可能性がゼロではないため、デフォルトでは無効になっているとされています。セキュリティ監査など、明確な目的がある場合にのみ有効にすることが推奨されます。

このログで、どのファイルがUSBメモリにコピーされたかまで分かりますか?

いいえ、分かりません。
このログで分かるのは、あくまで「いつ」「誰が」「どの種類のUSBデバイスを」抜き差ししたか、という情報までです。

ログの保存を有効にする前の、過去のUSB接続履歴も見ることはできますか?

いいえ、できません。
ログの記録は、この記事で解説している手順で「ログの有効化」を行った後から開始されます。
遡って過去の履歴を確認することは不可能です。

ログの有効化に、管理者権限は必要ですか?

はい、必要です。イベントログの設定変更は、システムの動作に関わる重要な操作のため、管理者権限を持つアカウントで実行する必要があります。

USB接続のログを有効にしたのに、USBを差してもすぐにはログが表示されません。

ログの保存を有効にした直後は、イベントビューアーの表示に反映されない場合があります。
1〜2分待ってから、画面右の「最新の情報に更新」をクリックするか、F5キーを押して画面を更新してみてください。

PCがスリープ中にUSBを抜くと、ログが残らないことがありますか?

はい、その可能性があります。PCが完全にスリープモードに入っている間にデバイスが切断されると、ログが正常に書き込まれない場合があります。
確実なログが必要な場合は、スリープモードを解除することをおすすめします。

実際の抜き差し回数より、ログの数が異常に多いのですが…

PCのUSBポートや、接続したUSBデバイスの接触不良が考えられます。
接触不良により、短時間で何度も「切断」と「接続」を繰り返している可能性があります。別のUSBポートや、別のUSBデバイスで試してみてください。

スマートフォンの充電ケーブルを抜き差ししても、ログは記録されますか?

充電ケーブル「だけ」の抜き差しでは、ログは記録されません。
しかし、そのケーブルにスマートフォンを接続し、PCが「デバイス」として認識した瞬間にログが記録されます。

その他のWindowsログ(履歴)に関する記事

イベントビューアーにはWindowsの様々な操作のログ(記録)が残っています。
「パソコンにはどんなログ(履歴)が保存されているのか?」興味があるかたは是非ご覧ください

その他Windows11に関する記事

その他Windows11に関する記事はこちらです。是非御覧ください。

最後までご覧いただきありがとうございました。
このサイトは情シスマンが半径3m以内のITに関する情報を掲載してるサイトです。
Windows系を主として、ソフトや周辺機器の操作や設定について画像も用いながらわかりやすく解説しています。

解説している内容に誤りがあった場合や、補足が必要な場合、もっと知りたい場合はこちらのお問い合わせフォームからご連絡ください。
個人の方を限定にサポートさせていただきます。

実行環境
Windows11 Home 24H2
64 ビット オペレーティング システム
11th Gen Intel(R) Core(TM) i7-11375H @ 3.30GHz 3.30 GHz
16.0 GB RAM
Microsoft 365

Windows11
Windows11 イベント ビューアー
よかったらシェアしてね!
  • URLをコピーしました!

コメント

コメントする

目次