Cách theo dõi hoạt động của USB bằng Event Viewer
Cách theo dõi hoạt động của USB là một vấn đề quan trọng đối với nhiều người dùng máy tính, đặc biệt là khi họ muốn bảo vệ dữ liệu cá nhân hoặc doanh nghiệp của mình. USB flash drive cũng có thể bị mất, đánh cắp, sao chép hoặc xóa dữ liệu một cách bí mật bởi những kẻ xấu. Do đó, việc theo dõi hoạt động của USB sẽ giúp bạn kiểm soát được những gì xảy ra với thiết bị của mình, phát hiện và ngăn chặn kịp thời những hành vi xâm phạm quyền riêng tư và an ninh.
Vì sao cần phải theo dõi hoạt động của USB flash drive trên Windows 10
Event Viewer là một công cụ quản lý hệ thống được tích hợp sẵn trong Windows 10. Nó cho phép bạn xem các sự kiện (events) liên quan đến hoạt động của hệ thống, các ứng dụng, các dịch vụ và các thiết bị ngoại vi . Bằng cách sử dụng Event Viewer, bạn có thể giải quyết các vấn đề, kiểm tra hiệu năng, theo dõi hoạt động và kiểm soát an ninh của máy tính.
USB flash drive là một thiết bị lưu trữ di động, nhỏ gọn và tiện lợi. Nó có thể chứa nhiều loại dữ liệu như tài liệu, hình ảnh, video, âm thanh, phần mềm và hệ điều hành. USB flash drive có nhiều loại khác nhau về dung lượng, tốc độ, kích thước và thiết kế. Bạn có thể sử dụng chúng để sao chép, chuyển, sao lưu và khôi phục dữ liệu một cách nhanh chóng và dễ dàng.
Tuy nhiên, USB flash drive cũng có thể mang lại những rủi ro cho an ninh và bảo mật của máy tính. Ví dụ, nếu bạn để lộ USB flash drive của mình cho người khác sử dụng, họ có thể sao chép hoặc xóa dữ liệu của bạn mà không cần sự cho phép. Hoặc nếu bạn cắm USB của người khác vào máy tính của mình, bạn có thể bị lây nhiễm virus hoặc mã độc từ thiết bị đó.
Do đó, việc theo dõi hoạt động của USB flash drive trên Windows 10 là rất quan trọng để bảo vệ máy tính và dữ liệu của bạn.
Cách theo dõi hoạt động của USB bằng Event Viewer
Cách kích hoạt tính năng theo dõi
Bước 1: Bấm Start > Gõ “Event Viewer” > Click vào kết quả hiển thị
Ngay sau khi công cụ khởi chạy, bạn sẽ thấy bảng “Overview And Summary” hiển thị danh sách các sự kiện gần đây nhất được thu thập từ tất cả nhật ký (logs)
Bước 2: Sau đó, bạn cần kích hoạt nó bằng cách vào Application and Services Logs > Microsoft > Windows > DriverFrameworks-UserMode
Bước 3: Nhấp chuột phải vào “Operational” , chọn “Properties” từ menu ngữ cảnh.
Bước 4: Khi hộp thoại Log Properties – Operational xuất hiện, hãy tích chọn vào ô “Enable Logging” > OK
Bước 5: Event Viewer sẽ theo dõi các hoạt động liên quan đến ổ flash USB tại:
Application and Services Logs > Microsoft > Windows > DriverFrameworks-UserMode > Operational
Cách theo dõi các kết nối USB
Khi bạn kết nối USB với hệ thống của mình, một số bản ghi sự kiện sẽ được tạo trong phần “Operational Log”. Những bản ghi này sẽ bao gồm các Event ID sau:
- 2003
- 2004
- 2006
- 2010
- 2100
- 2101
- 2105
- 2106
Như bạn có thể thấy, một vài bản ghi sự kiện đầu tiên liên quan đến việc tải trình điều khiển cho ổ flash USB. Phần còn lại của các bản ghi liên quan đến các hoạt động pnp (Plug-and-Play) hoặc Power Management giúp ổ đĩa sẵn sàng hoạt động trong Windows 10.
Mỗi bản ghi sự kiện đều có thông tin Ngày và Giờ cụ thể, tương ứng với thời điểm USB được kết nối với hệ thống. Việc kết nối USB tạo ra 16 bản ghi sự kiện. May mắn thay là tất cả các bản ghi được tạo cùng một lúc và phần lớn các bản ghi đều chứa số sê-ri duy nhất.
Khi USB được kết nối, bản ghi sự kiện được ghi đầu tiên là Event ID 2003. Vì vậy, bằng thông tin ngày giờ bên cạnh Event ID 2003, bạn có thể biết chính xác thời điểm ổ đĩa flash USB được kết nối với hệ thống. Sau đó, nếu bạn mở bản ghi Event ID 2003, bạn có thể tìm thấy tất cả thông tin như:
- Phần màu xanh lá cây: Hiển thị tên được mã hóa cho thiết bị
USBSTOR#DISK cho biết đây là ổ flash USB
VEN_SANDISK&PROD_ULTRA cho biết đây là ổ flash USB Sandisk Ultra 3.0.
- Phần màu vàng: Số sê-ri duy nhất của thiết bị.
- Phần màu cam: Hiển thị ngày và giờ USB được kết nối với hệ thống.
Cách theo dõi các ngắt kết nối USB
Khi bạn rút hoặc ngắt kết nối thiết bị USB, một vài bản ghi sự kiện sẽ được tạo trong “Operational Log” có tên là:
- 2100
- 2102
Các bản ghi sự kiện này cũng chứa ngày và giờ cùng với số sê-ri duy nhất của thiết bị. Mặc dù có nhiều bản ghi cho một lần ngắt kết nối, nhưng ID sự kiện là duy nhất. Như vậy, bằng cách điều tra bản ghi Event ID 2102, bạn có thể tìm ra chính xác thời điểm một thiết bị cụ thể bị ngắt kết nối khỏi hệ thống.
Cách tạo Custom View
Theo thời gian, việc kết nối và ngắt kết nối của nhiều thiết bị USB sẽ khiến Operational Log chứa rất nhiều bản ghi. Do đó, để dễ dàng theo dõi các bản ghi sự kiện Event ID 2003 và Event ID 2102, bạn có thể tạo “Custom View”
Bước 1: Chọn tab Action > Chọn “Create Custom View”
Bước 2: Tích chọn ô “Information” tại mục Event Level
Bước 3: Điền 2003, 2102 vào ô như hình trên> Nhấn OK
Bước 4: Điền tên rồi nhấn OK
Bây giờ, để truy cập Custom View, chỉ cần click vào tên mà bạn đã lưu ban nãy. Giao diện sẽ chỉ hiển thị các bản ghi sự kiện mà bạn muốn theo dõi mà thôi. Trông rất gọn đúng không!
Ngoài ra, bạn có thể phân loại và dễ dàng xác định các sự kiện kết nối và ngắt kết nối, bằng cách chọn tab View > Group By > Event ID
Nếu bạn tìm thấy bản ghi sự kiện Event ID 2003 cho một ổ flash USB nhưng không tìm thấy bản ghi sự kiện Event ID 2102 tương ứng, điều đó có nghĩa là USB vẫn được gắn vào hệ thống hoặc hệ thống đã bị tắt trước khi thiết bị bị xóa.
Bạn có thể điều tra các lần tắt máy gần đây như một cách để xác định thời điểm USB bị ngắt kết nối. Bạn có thể theo dõi các lần tắt máy gần đây bằng cách tạo một Custom View, đặt Event log là Windows > System và chỉ định Event source là User32, Event ID là 1074.
Lời Kết
Trong bài viết này, mình đã hướng dẫn bạn cách theo dõi hoạt động của USB trên Windows 10 bằng Event Viewer. Bạn có thể áp dụng các bước này để kiểm tra, khắc phục hoặc điều tra các vấn đề liên quan đến USB. Chúc bạn thành công!