15

Мне нужно получить историю того, какие процессы выполнялись на моей машине с Windows, и когда они запускались. Однако я не могу использовать стороннее программное обеспечение, так как не могу гарантировать, что оно всегда будет работать.

Есть ли способ получить эту информацию, используя только встроенные функции Windows?

2 ответа2

19

Конечно. Вы можете использовать встроенную регистрацию событий Windows (при условии, что у вас нет дешевого издания, в котором его нет).

  1. Нажмите Win+R и введите gpedit.msc, чтобы открыть диспетчер групповой политики.
  2. На левой панели перейдите к

    Политика локального компьютера \ Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Политика аудита

  3. На правой панели дважды щелкните "Аудит отслеживания процессов" и установите оба флажка.

С этого момента все процессы создания и удаления (и неудачные попытки одного и того же) будут отображаться в журнале безопасности.

Чтобы просмотреть их, запустите Event Viewer. (Нажмите клавишу Windows и начните вводить "Просмотр событий".) В левой панели разверните поддерево "Журналы Windows" и нажмите "Безопасность". Все события безопасности будут отображаться.

На правой панели вы можете настроить фильтр для поиска идентификаторов событий, таких как 4688 или 4689, или любых других поддерживаемых критериев.

Возможно, вы решите не включать ведение журнала сбоев, так как вы ищете "что было выполнено и когда", и если создание процесса не удалось, то ничего не запустилось ... но это ваше дело.

Вы не ограничены только чтением журнала событий на своем экране. Windows "Запланированные задачи" могут запускаться записями журнала событий, которые соответствуют указанным вами критериям. Вы также можете читать журнал событий с помощью скрипта PowerShell (или, конечно, с помощью обычной программы) и делать вещи, основываясь на том, что вы найдете.

NB. Ответ Дэвида Постилла дает более подробную информацию о некоторых кодах событий и т.д. Не игнорируйте его!

11

Как я могу получить историю запущенных процессов

По умолчанию такой истории нет и она нигде не регистрируется.

Однако вы можете включить отслеживание процессов в журнале событий безопасности Windows.

Это даст вам необходимую информацию.

Заметки:


Как использовать события отслеживания процессов в журнале безопасности Windows

В Windows 2003/XP вы получаете эти события, просто включив политику аудита отслеживания процессов.

В Windows 7/2008+ необходимо включить создание процесса аудита и, при необходимости, подкатегории завершения процесса аудита, которые вы найдете в разделе «Расширенная настройка политики аудита» в объектах групповой политики.

Эти события невероятно ценны, потому что они дают исчерпывающий контрольный журнал каждый раз, когда любой исполняемый файл в системе запускается как процесс. Вы даже можете определить, как долго выполняется процесс, связав событие создания процесса с событием завершения процесса, используя идентификатор процесса, найденный в обоих событиях. Примеры обоих событий приведены ниже.

Источник Как использовать события отслеживания процессов в журнале безопасности Windows


Как включить создание процесса аудита

  1. Запустите gpedit.msc

  2. Выберите "Настройки Windows"> "Настройки безопасности"> "Локальные политики"> "Политика аудита"

  3. Щелкните правой кнопкой мыши "Аудит отслеживания процессов" и выберите "Свойства"

  4. Проверьте "Успех" и нажмите "ОК"


Что такое отслеживание процессов аудита

Этот параметр безопасности определяет, будет ли ОС проверять связанные с процессом события, такие как создание процесса, завершение процесса, обработка дублирования и косвенный доступ к объектам.

Если этот параметр политики определен, администратор может указать, следует ли проверять только успехи, только неудачи, как успехи, так и неудачи, или вообще не проверять эти события (т.е. ни успехи, ни неудачи).

Если включен Аудит успеха, запись аудита создается каждый раз, когда ОС выполняет одно из этих действий, связанных с процессом.

Если аудит отказа включен, запись аудита создается каждый раз, когда ОС не может выполнить одно из этих действий.

По умолчанию: без аудита

Важное замечание: Для большего контроля над политиками аудита используйте параметры в узле Конфигурация расширенной политики аудита. Для получения дополнительной информации о конфигурации расширенной политики аудита см. Http://go.microsoft.com/fwlink/?LinkId=140969.


Дальнейшее чтение

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .