この記事では、PowerShellを使用してUSBデバイスの接続履歴を確認する方法について解説します。この作業は、パソコンが誰に使用されたか、または不正なデバイスが接続されなかったかどうかを知るために有用です。特に企業環境や共有されたコンピュータで、セキュリティが重要な場面では非常に役立ちます。
はじめに:PowerShellとは
PowerShellはMicrosoftが開発したコマンドラインベースのスクリプト環境です。Windowsだけでなく、LinuxやmacOSでも使用することができます。その柔軟性と拡張性によって、システム管理者や開発者は高度な操作を効率的に行うことができます。
必要な環境
– Windows 10またはそれ以上
– PowerShell 5.0以上
– 管理者権限
基本的なコマンド
以下のコマンドを使用して、USBデバイスの接続履歴を確認することができます。
# PowerShellを管理者権限で開きます。
# 以下のコマンドを実行してUSBデバイスの接続履歴を確認します。
Get-WinEvent -LogName Microsoft-Windows-DriverFrameworks-UserMode/Operational | Where-Object {$_.ID -eq 2101 -or $_.ID -eq 2100} | Format-Table -Property TimeCreated, ID, Message -AutoSize
コマンドの解説
– `Get-WinEvent`: Windowsのイベントログを取得します。
– `-LogName Microsoft-Windows-DriverFrameworks-UserMode/Operational`: USBデバイスのイベントを記録しているログ名です。
– `Where-Object {$_.ID -eq 2101 -or $_.ID -eq 2100}`: イベントIDが2101または2100のイベントをフィルタリングします。
– `Format-Table`: 出力をテーブル形式で表示します。
応用例
特定の日付範囲の履歴を見る
特定の日付範囲でUSBデバイスが接続されたか確認するには、以下のようなコマンドを使用します。
# 特定の日付範囲内でUSBが接続された履歴を確認
$startdate = "2023-01-01"
$enddate = "2023-09-09"
Get-WinEvent -LogName Microsoft-Windows-DriverFrameworks-UserMode/Operational | Where-Object {($_.ID -eq 2101 -or $_.ID -eq 2100) -and ($_.TimeCreated -ge $startdate -and $_.TimeCreated -le $enddate)} | Format-Table -Property TimeCreated, ID, Message -AutoSize
特定のデバイスをフィルタリングする
特定のデバイスだけをフィルタリングするには、以下のコマンドを実行します。
# 特定のデバイス(ここでは"SanDisk")をフィルタリング
Get-WinEvent -LogName Microsoft-Windows-DriverFrameworks-UserMode/Operational | Where-Object {($_.ID -eq 2101 -or $_.ID -eq 2100) -and $_.Message -like "*SanDisk*"} | Format-Table -Property TimeCreated, ID, Message -AutoSize
結果をテキストファイルに保存する
このコマンドを使って結果をテキストファイルに保存できます。
# 結果をテキストファイルに保存
Get-WinEvent -LogName Microsoft-Windows-DriverFrameworks-UserMode/Operational | Where-Object {$_.ID -eq 2101 -or $_.ID -eq 2100} | Format-Table -Property TimeCreated, ID, Message -AutoSize | Out-File C:\path\to\your\folder\USB_History.txt
まとめ
PowerShellを使い、USBデバイスの接続履歴を確認する方法について詳しく解説しました。基本的なコマンドから応用例まで、様々なケースでこの知識が役立つでしょう。セキュリティ対策や監査の一環として、ぜひこの機能を活用してください。
コメント