Просто интересно, есть ли способ записи списка программ, которые были запущены в течение дня (возможно, с использованием WMI)? Я хотел бы написать сценарий, который может сделать это.
Например, я хочу видеть, какие программы пользователи запускают каждый рабочий день (например, скажем, пользователь фактически никогда не открывал свои программы, связанные с работой, я хочу видеть это).
Самый простой способ - включить аудит процесса через MMC:
Локальные параметры безопасности> Локальные политики> Политика аудита
затем установите для параметра « Отслеживание процесса аудита » значение « Успех, сбой » и примените.
Это заполнит ваш журнал событий (Безопасность) довольно быстро, поэтому обязательно настройте его по мере необходимости.
Создание и завершение процесса регистрируются с идентификаторами событий 592 и 593 соответственно. PID, пользователь, домен и полное имя процесса также регистрируются. Это должно быть достаточно просто для доступа к этим данным через WMI, или вы можете фильтровать и экспортировать в текст или XML с помощью wevtutil.
Вы также можете использовать MS Applocker для аудита использования приложений.
