Eu tenho um computador com Windows 10 que a cada 5 minutos ou mais reproduz o som de "remoção" de hardware Adicionar/Remover do Windows e, alguns segundos depois, reproduz o som de "hardware adicionado". Às vezes faz isso quatro ou cinco vezes em sucessão imediata.
Nenhuma alteração está sendo feita no computador, então suspeito que haja um periférico com defeito.
Sem desconectar as coisas e esperar para ver se ele desaparece (pode ser um periférico integrado que está instável, mas não pode ser desconectado fisicamente), como posso descobrir o que está causando a reprodução dos sons de adição/remoção de hardware? Existe algum evento no log de eventos em algum lugar que eu possa ver?
Atualização: usei usblogviewo que mostrava um periférico ofensivo. No entanto, mesmo com o periférico desconectado, o problema ainda ocorre, mas agora usblogviewnão mostra nada, o que significa que provavelmente não é um dispositivo USB que o está causando. Talvez seja o próprio chip USB da placa-mãe? Eu ativei Audit PNP Activityde acordo com o comentário do HelpingHand, mas não vejo nenhum evento no log de eventos
Responder1
Se o dispositivo em questão for Plug-n-Play (PnP), você poderá ativar a auditoria.
Para configurar localmente usando o editor de política de grupo:
- Inicie gpedit.msc
- Navegar para:
Configuração do computador > Configurações do Windows > Configurações de segurança > Configuração avançada de política de auditoria > Políticas de auditoria do sistema > Rastreamento detalhado.
A atividade PnP de auditoria pode então ser habilitada para sucesso/falha.
A explicação para esta opção é a seguinte:
Atividade PNP
Essa configuração de política permite auditar quando o plug and play detecta um dispositivo externo.
Se você definir essa configuração de política, um evento de auditoria será gerado sempre que o plug and play detectar um dispositivo externo. Somente auditorias de sucesso são registradas para esta categoria. Se você não definir essa configuração de política, nenhum evento de auditoria será gerado quando um dispositivo externo for detectado por plug and play.
Volume: Baixo
Para visualizar os logs, inicie o log de eventos do Windows, por exemplo, eventvwr e abra o log de eventos de segurança.
Se necessário, na linha de comando você pode verificar o estado executando:
AuditPol /get /category:"Acompanhamento detalhado"
Para ativar a auditoria de falha e sucesso para eventos Plug and Play:
AuditPol /set /subcategory:"Eventos Plug and Play" /failure:enable /success:enable
Desabilitar:
AuditPol /set /subcategory:"Eventos Plug and Play" /failure:disable /success:disable