Я только что увидел, что новое приложение ненадолго появилось на панели задач и сразу исчезло, без какого-либо участия со стороны. Как мне найти то, что это было? На какие логи мне смотреть?
2 ответа
1
Вы должны быть готовы заранее. Ведение журнала всех приложений может генерировать много данных журнала, поэтому уровень ведения журнала не является значением по умолчанию. Вот хороший ответ на эту тему в другом. Если ответ @WernerHenze работает для вас, вы должны проголосовать за него.
Вы не сможете проверить, что бежало, но вы можете подготовиться к следующему разу. Если вы откроете secpol.msc, вы можете перейти к локальной политике / политике аудита. Активируйте Успех (и, возможно, также Отказ) при отслеживании процессов аудита, и вы будете получать запись журнала событий в журнале событий безопасности каждый раз, когда процесс начинается или заканчивается. К сожалению, вы увидите запущенный процесс, но не командную строку, с которой он был запущен.
Если вы активируете аудит, может появиться много журналов, поэтому вы должны отрегулировать размер журнала событий безопасности.
Вы можете получить доступ к журналам с помощью eventvwr.msc, протоколов Windows, Security.
0
Windows не хранит историю того, когда приложения работали по умолчанию, вам придется настроить это заранее. Однако в некоторых случаях вам может повезти найти приложение с помощью средства просмотра событий.